Inzicht in ISE-services, doel- en probleemoplossing

Inleiding

In dit document worden de ISE-services, het doel en de probleemoplossing beschreven.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van Cisco Identity Services Engine. 

Gebruikte componenten

Het document is niet beperkt tot bepaalde software- en hardwareversies van Cisco Identity Services Engine.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Cisco Identity Services Engine (ISE) is een uitgebreide oplossing die is ontworpen om geavanceerde netwerkbeveiliging te bieden via gecentraliseerd beleidsbeheer, verificatie, autorisatie en accounting (AAA). Het stelt organisaties in staat om netwerktoegang voor gebruikers, apparaten en toepassingen te beheren en tegelijkertijd te zorgen voor beveiliging, naleving en naadloze gebruikerservaringen.

Om deze doelstellingen te bereiken, maakt Cisco ISE gebruik van een reeks services die elk verantwoordelijk zijn voor specifieke taken die het systeem efficiënt laten functioneren. Deze diensten werken samen om veilige netwerktoegang, robuuste beleidshandhaving, gedetailleerde vastlegging, naadloze integraties met externe systemen, en efficiënte apparatenprofilering te verzekeren.

Elke dienst in ISE speelt een cruciale rol bij het behoud van de integriteit en beschikbaarheid van de oplossing. Sommige diensten behandelen kernfuncties, zoals gegevensbestandbeheer en authentificatie, terwijl anderen geavanceerde eigenschappen zoals apparaat het profileren, certificaatbeheer, en controle toelaten.

Dit artikel biedt een overzicht van de verschillende services in Cisco ISE, waarin het doel, het belang en de mogelijke stappen voor probleemoplossing worden uitgelegd als er problemen zijn. Of u nu een beheerder of een netwerkbeveiligingsprofessional bent, het begrijpen van deze services helpt u ervoor te zorgen dat uw ISE-implementatie soepel en veilig verloopt.

De diensten van het begrip en van het Oplossen van problemen ISE

De in de screenshot genoemde diensten worden door ISE gebruikt om de functionaliteit ervan te ondersteunen. Controleer de status of services die beschikbaar zijn in ISE met behulp van show application status ise commando via CLI van ISE-knooppunt. Hier is een voorbeelduitvoer die de status of beschikbare services op de ISE toont.

Diensten beschikbaar in ISE.

Bekijk nu elke dienst in detail.

Databaselozer

De dienst van de Luisteraar van het gegevensbestand is een kritieke component die in het beheren van de communicatie tussen ISE en de gegevensbestandserver helpt. Het luistert naar en verwerkt verzoeken met betrekking tot de database, zodat het ISE-systeem kan lezen van en schrijven naar de onderliggende database.

Belangrijkste punten over de Database Listener Service in ISE

1. Communicatie-interface: Het fungeert als de communicatie brug tussen ISE en de databaseserver, waardoor het systeem gegevens kan ophalen en opslaan zoals gebruikersreferenties, sessieinformatie, netwerkbeleid en meer.

2. Ondersteuning van externe database: ISE kan worden geconfigureerd voor het gebruik van een externe database (zoals Oracle of Microsoft SQL Server) voor gebruikersverificatie en beleidsopslag. De Database Listener Service zorgt ervoor dat ISE op een veilige en efficiënte manier met deze externe database verbinding kan maken en kan communiceren.

3. Gegevensverwerking: De dienst luistert naar databasevragen van het ISE-systeem en vertaalt deze vervolgens in de juiste acties op de externe database. Het kan verzoeken behandelen zoals het opnemen van, het bijwerken van, of het schrappen van verslagen, evenals het terugwinnen van informatie uit het gegevensbestand.

4. Database Health Monitoring: Naast het aanbieden van het communicatiekanaal, helpt het ook ervoor te zorgen dat de verbinding met de externe database stabiel en operationeel is. Als de verbinding mislukt, valt ISE terug naar de lokale opslag of gaat een gedegradeerde modus in, afhankelijk van de configuratie.

Databaseserver

De database server service is verantwoordelijk voor het beheer van de opslag en het ophalen van gegevens die door het systeem worden gebruikt. Het behandelt de interactie met het onderliggende gegevensbestand dat ISE gebruikt om configuratie, beleidsinformatie, gebruikersgegevens, authentificatielogboeken, apparatenprofielen, en andere noodzakelijke informatie op te slaan.

Belangrijke punten over de database server service in ISE

1. Interne gegevensopslag: De Database Server Service beheert voornamelijk de interne ingesloten database die ISE gebruikt om operationele gegevens lokaal op te slaan. Dit omvat gegevens zoals verificatie- en autorisatiegegevens, gebruikersprofielen, beleid voor netwerktoegang, informatie over apparaten en endpoints, sessiegegevens.

2. Ingesloten database: In de meeste implementaties van Cisco ISE gebruikt het systeem een ingesloten PostgreSQL-database voor lokale opslag. De Database Server Service zorgt ervoor dat deze database soepel werkt en alle vragen, updates en beheerstaken met betrekking tot de daarin opgeslagen gegevens verwerkt.

3. Databaseintegriteit: De dienst zorgt ervoor dat alle transacties correct worden verwerkt en dat de integriteit van de database wordt gehandhaafd. Het behandelt taken zoals het vergrendelen van records, het beheren van databaseverbindingen en het uitvoeren van databasevragen.

Controleer en los probleemoplossing op dat de Databaseverkenner en Databaseserverservices al dan niet worden geïnitialiseerd

De Database Listener en Database Server zijn essentiële diensten die moeten samenwerken voor alle andere diensten om goed te functioneren. Als deze services niet actief zijn of vastzitten tijdens de initialisatie, helpen deze stappen voor probleemoplossing bij herstel. 

1. Start de ISE-services opnieuw met de opdrachten stop ISE en start ISE van applicatie.

2. Als dit een VM-knooppunt is, moet het opnieuw opstarten van de knooppunt van VM helpen bij het herstel van services.

3. Als het knooppunt een fysiek knooppunt is, moet het herstarten / opnieuw laden van het knooppunt vanuit CIMC helpen bij het herstel van de services.

4. Als de database is beschadigd, neemt u contact op met Cisco TAC voor verdere probleemoplossing. 

De Database Listener en Database Server gaan meestal naar beneden of starten niet wanneer er een discrepantie in de database is of wanneer de database niet goed kan initialiseren. In die gevallen moet het uitvoeren van applicatie reset door gebruik te maken van de commando applicatie reset-config ise helpen bij herstel en nieuwe initiatie van de database. Het uitvoeren van de applicatie reset-config ISE opdracht verwijdert configuraties en certificaten, maar IP-adres en domeinnaamdetails blijven behouden. Het wordt aanbevolen om contact op te nemen met Cisco TAC voor meer informatie en om het potentiële effect te begrijpen voordat u deze opdracht op een knooppunt in de implementatie toepast.

Toepassingsserver

Application Server is een belangrijk onderdeel dat verantwoordelijk is voor het beheer en beheer van de kernfuncties en -services van het ISE-platform. Het host de bedrijfslogica, gebruikersinterfaces en services die ISE in staat stellen om haar rol te vervullen in netwerktoegangscontrole, verificatie, autorisatie, accounting en beleidsbeheer.

Belangrijke punten over de Application Server Service in ISE

1. Gebruikersinterface (UI): De Application Server Service is verantwoordelijk voor het renderen van de webgebaseerde gebruikersinterface (UI) voor ISE. Hiermee kunnen beheerders beleid configureren en beheren, logboeken en rapporten weergeven en communiceren met andere functies van ISE.

2. Servicebeheer: Zij is verantwoordelijk voor de afhandeling van de verschillende diensten die ISE levert, waaronder beleidsbeheer, administratieve taken en communicatie met andere ISE-knooppunten in een gedistribueerde uitrol.

3. Gecentraliseerde verwerking: De Application Server Service speelt een centrale rol in de ISE-architectuur en biedt de logica van beleid, verificatieverzoeken en gegevens van netwerkapparaten, directories en externe services.

Verificatie voor toepassingsserver initialiseert of werkt niet

Toepassingsserver is afhankelijk van weinig webtoepassingen zoals certificaten, resources, implementatie en licenties. Wanneer een van de webtoepassingen niet kan worden geïnitialiseerd, blijft de toepassingsserver vastzitten in de initialiserende status. Toepassingsserver heeft 15 tot 35 minuten nodig om → te starten → staat van uitvoering te starten, afhankelijk van de configuratiegegevens op het knooppunt.

1. Zorg ervoor dat het Admin-certificaat van ISE geldig en actief is bij de implementatie voor alle knooppunten.
2. Zorg ervoor dat alle knooppunten in de implementatie synchroon zijn met de knooppunt Primary Admin.
3. Als het knooppunt een VM is, moet u ervoor zorgen dat de aanbevolen bronnen aan het knooppunt worden toegewezen.

Controleer de status van de toepassingsserver met behulp van show application status ise opdracht van CLI van de ISE-knooppunt. De meeste logbestanden met betrekking tot de toepassingsserver zijn beschikbaar onder de

Catalina.Out en Localhost.log bestanden.

Als aan de genoemde voorwaarden is voldaan en de toepassingsserver blijft vastzitten in de initialiserende status, beveilig de ondersteuningsbundel van CLI/GUI van ISE. Herstel / start de services opnieuw door gebruik te maken van de applicatie stop ise en applicatie start ise commando's.

Profilerdatabase

Profiler Database is een gespecialiseerde database die wordt gebruikt om informatie op te slaan over netwerkapparaten, endpoints en apparaatprofielen die door de Profiler-service zijn ontdekt. Profiler is een kritisch onderdeel van ISE dat automatisch netwerkapparaten (zoals computers, smartphones, printers, IoT-apparaten enzovoort) identificeert en classificeert op basis van netwerkkenmerken en -gedrag.

Belangrijkste punten over de Profiler Database Service in ISE

1. Apparaatprofilering: De belangrijkste functie van de Profiler Database Service is het ondersteunen van het profileringsproces. ISE gebruikt deze service om de informatie op te slaan die tijdens het opstellen van profielen wordt verzameld, zoals:

• Type apparaat (bijvoorbeeld: smartphone, laptop, printer, IoT-apparaat)
• Besturingssysteem voor apparaten (bijvoorbeeld: Windows®, macOS®, Cisco IOS®, Android®)
• Fabrikant apparaat
• Netwerkgedrag of -patronen die helpen bij het classificeren van apparaten

2. Profilergegevens: Het slaat profiler attributen zoals de apparatenhardware en de softwareprofielen op, die worden gebruikt om apparaten aan vooraf bepaald beleid aan te passen. Deze informatie wordt ook gebruikt om apparaten dynamisch toe te wijzen aan het juiste beleid voor netwerktoegang of aan VLAN’s op basis van hun profiel.

3. Profileringsproces: Het profileringsproces is doorgaans gebaseerd op:

• Actieve profilering: ISE zoekt actief naar apparaten op het netwerk voor informatie.
• Passieve profilering: ISE verzamelt passief gegevens van netwerkverkeer, zoals DHCP-aanvragen, RADIUS-kenmerken, HTTP-headers en andere netwerkprotocollen, om het apparaattype te bepalen.

Controleer en los ISE-profileringsservices op

1. Van ISE CLI, looppas tonen de opdracht van de toepassingsstatus ISE om te verifiëren profiler database service loopt.

2. Navigeer vanuit GUI van het knooppunt Primaire beheerder naar Beheer > Implementatie > selecteer het knooppunt. Klik op Bewerken en controleren of de sessieservices en de profileringsservices zijn ingeschakeld. 

3. Ga nu naar Beheer > Implementatie > Selecteer het knooppunt. Ga naar Profiler-configuratie en controleer of de vereiste sondes zijn ingeschakeld voor het beveiligen van de eindpuntgegevens. 

4. Navigeren naar Beheer > Systeem > Profileren en controleren van profielinstellingen die zijn geconfigureerd voor CoA. 

5. Van Context-zichtbaarheid > Eindpunten > Selecteer de eindpunten en controleer de kenmerken die door verschillende sondes voor eindpunten zijn verzameld.

Handige debugs voor het oplossen van problemen met het profileren van problemen:

• profiler (profiler.log) 
• runtime-AAA (poortserver.log)
• nsf (ise-psc.log)
• nsf-sessie (ise.psc.log)

ISE-indexeringsengine

Indexing Engine is een service die verantwoordelijk is voor efficiënt zoeken, indexeren en ophalen van gegevens die zijn opgeslagen in de ISE-database. Het verbetert de prestaties en schaalbaarheid van ISE, in het bijzonder wanneer het gaat om het verwerken van grote hoeveelheden gegevens en het bieden van snelle toegang tot informatie die nodig is voor authenticatie, autorisatie, monitoring en rapportage.

Belangrijkste punten over de ISE-indexeringsengine in ISE

1. Gegevensindexering: De ISE Indexing Engine maakt indexen voor verschillende soorten gegevens die in ISE zijn opgeslagen, zoals verificatielogboeken, sessielogboeken, beleidshits, profileringsgegevens en records voor netwerktoegang. Het indexeren helpt bij het organiseren van deze gegevens op een manier die het zoeken en het vragen efficiënter maakt.

2. Logbeheer en -rapportage: Deze dienst speelt een kritieke rol in logboekbeheer door de prestaties van rapportering en logboekvragen te verbeteren. Wanneer u bijvoorbeeld zoekt naar specifieke authenticatie-gebeurtenissen, maakt de indexeringsmachine het mogelijk om de gewenste records sneller terug te halen, wat cruciaal is voor de beveiligingsbewaking en nalevingsrapportage.

3.Data ophalen: De indexeringsmachine is ook verantwoordelijk voor het waarborgen dat ISE op efficiënte wijze geïndexeerde gegevens kan ophalen uit de onderliggende database wanneer dat nodig is. Hierdoor kan ISE snelle antwoorden bieden op vragen van de gebruikersinterface, externe tools of API's.

Controleer of ISE-indexeringsengine niet actief is of niet wordt gestart

1. Controleer vooruit- en omgekeerde DNS-lookups werken voor alle knooppunten in het cluster via CLI met behulp van het nslookup <FQDN/IP-adres van het ISE-knooppunt > opdracht.
2. Controleer of de ISE-beheercertificaten geldig en actief zijn voor alle knooppunten in het cluster.
3. Controleer NTP werkt en synchroon met de ISE-knooppunten via CLI met behulp van show ntp-opdracht.

De indexeringsmotor wordt gebruikt door Context Visibility en de Indexeringsmotor moet operationeel zijn voor Context-zichtbaarheid om te werken. Nuttige logbestanden die kunnen helpen bij het oplossen van problemen met Indexing Engine zijn ADE.log-bestanden die kunnen worden beveiligd uit de ondersteuningsbundel of via CLI kunnen worden getagd door gebruik te maken van de show-logboeksysteem ade/ADE.log staartopdracht tijdens het probleem.

AD-connector

AD Connector (Active Directory Connector) is een service waarmee ISE kan integreren met Microsoft Active Directory (AD), waardoor ISE gebruikers kan verifiëren, autoriseren en beheren op basis van hun AD-referenties en groepslidmaatschap. De AD Connector fungeert als een brug tussen ISE en Active Directory, waardoor ISE kan profiteren van AD voor netwerktoegangscontrole (NAC) en beleidshandhaving. 

Belangrijkste functies van de AD Connector Service in ISE

1. Integratie met Active Directory: De AD Connector Service fungeert als een brug tussen ISE en Active Directory. Het maakt het voor ISE mogelijk om veilig verbinding te maken met AD, zodat ISE AD kan gebruiken als een gecentraliseerd identiteitsarchief voor gebruikersverificatie en beleidshandhaving.

2. Synchronisatie: De AD Connector Service ondersteunt het synchroniseren van gebruikers- en groepsgegevens van Active Directory naar ISE. Dit zorgt ervoor dat ISE actuele informatie over gebruikers en groepen heeft, wat cruciaal is voor een nauwkeurige handhaving van het beleid.

3. Beveiligde communicatie: De AD Connector Service creëert veilige communicatiekanalen tussen ISE en Active Directory, waarbij doorgaans gebruik wordt gemaakt van protocollen zoals LDAP over SSL (LDAPS) om de privacy en integriteit van gegevens te garanderen tijdens authenticatie- en zoekprocessen.

4. Ondersteuning van meerdere Active Directory-domeinen: De service kan verbindingen met meerdere Active Directory-domeinen ondersteunen. Dit is met name nuttig in grote of multidomeinomgevingen, waar ISE gebruikers uit verschillende AD-bossen of -domeinen moet authenticeren.

5. Gebruiker en groep zoeken: Hiermee kan ISE AD opvragen voor gebruikers- en groepsinformatie. Dit kan details zoals gebruikersnamen, groepslidmaatschap, en andere gebruikerseigenschappen omvatten die kunnen worden gebruikt om beleid van de netwerktoegang af te dwingen. Zo kan het beleid voor netwerktoegang worden toegepast op basis van het lidmaatschap van een AD-groep van een gebruiker (bijvoorbeeld: verschillende toegangsniveaus te verlenen aan gebruikers in verschillende groepen).

1. Controleer of NTP synchroon is met de knooppunten en het tijdsverschil tussen AD en ISE moet minder dan 5 minuten zijn. 

2. Controleer of DNS-server de FQDN’s en domeinen met betrekking tot de AD kan oplossen. 

3. Ga naar Operations > Reports > Reports > Diagnostics > AD-connector Operations, controleer de gebeurtenissen of rapporten met betrekking tot AD. 

De nuttige logboeken voor het oplossen van problemen zijn ad_agent.log met debug logboeken voor runtime component.

M&T-sessiedatabank

M&T Session Database (Monitoring and Troubleshooting Session Database) speelt een cruciale rol in het opslaan en beheren van sessiegerelateerde gegevens voor netwerktoegangsgebeurtenissen. De M&T Session Database bevat informatie over actieve sessies, waaronder gebruikersverificaties, apparaatverbindingen en netwerktoegangsgebeurtenissen, die essentieel is voor het bewaken, oplossen en analyseren van netwerkactiviteit.

Belangrijkste functies van de M&T Session Database Service in ISE

1. Sessiegegevensopslag: De M&T Session Database Service is verantwoordelijk voor het opslaan en indexeren van gegevens over gebruikers- en apparaatsessies op het netwerk. Dit omvat begin- en eindtijden van sessies, verificatieresultaten, de gebruiker- of apparaatidentiteit en het bijbehorende beleid (zoals roltoewijzingen of VLAN-toewijzingen). De gegevens omvatten ook RADIUS-boekhoudingsinformatie die de sessielevenscyclus gedetailleerd weergeeft, met inbegrip van de eerste authenticatie en alle boekhoudingsberichten die sessiegebeurtenissen volgen.

2. Realtime en historische gegevens: De service biedt toegang tot realtime sessiegegevens (actieve sessies) en historische sessiegegevens (eerdere sessies). Hiermee kunnen beheerders niet alleen continue gebruikerstoegang controleren, maar ook terugkijken naar eerdere sessielogboeken om problemen te onderzoeken of toegangsgebeurtenissen te valideren. Real-time sessiebewaking kan ervoor zorgen dat er momenteel geen onbevoegde apparaten op het netwerk zijn geïnstalleerd.

3. Verbeterde bewaking: Biedt inzicht in de activiteit van gebruikers en apparaten, inclusief het beleid dat op hun sessies wordt toegepast, om potentiële beveiligingsproblemen of onbevoegde toegang te helpen detecteren.

4. Accountantscontrole en verslaglegging: Vergemakkelijkt nalevingscontrole en rapportering door een geschiedenis van netwerktoegangsgebeurtenissen op te slaan en gegevens voor regelgevende rapportering te verstrekken.

Verifiëren en probleemoplossing voor M&T Session Database in ISE

1. Controleer of het knooppunt met aanbevolen bronnen is toegewezen.

2. Beveiligde show tech-support van ISE CLI voor verdere verificatie van de kwestie. 

3. Reset M&T sessie Database door de applicatie configureer ISE commando in te voeren via ISE CLI en selecteer optie 1.

Opmerking: Reset M&T database moet alleen worden gedaan nadat de potentiële impact in de implementatie is geverifieerd. Neem contact op met Cisco TAC voor verdere verificatie.

Bekende gebreken  

Cisco bug-id ·32364

M&T-logprocessor

M&T Log Processor (Monitoring and Troubleshooting Log Processor) is een component die verantwoordelijk is voor het verzamelen, verwerken en beheren van loggegevens die door verschillende services binnen ISE worden gegenereerd. Het is een belangrijk onderdeel van het kader Monitoring and Troubleshooting (M&T), dat beheerders helpt bij het bewaken en oplossen van problemen met netwerktoegangsgebeurtenissen, verificatiepogingen, beleidshandhaving en andere activiteiten binnen het ISE-systeem. De M&T Log Processor behandelt specifiek de verwerking van loggegevens, waardoor ISE de benodigde informatie kan opslaan, analyseren en presenteren voor rapportage, audits en probleemoplossing.

Belangrijkste functies van de M&T Log Processor Service in ISE

1. Inzameling en verwerking van stamhout: De M&T Log Processor Service verzamelt en verwerkt logbestanden die worden gegenereerd door verschillende ISE-componenten, zoals verificatieaanvragen, autorisatiebeslissingen, boekhoudberichten en beleidsafdwingingsactiviteiten. Deze logboeken omvatten gedetailleerde informatie over gebruikers, apparaten, en pogingen van de netwerktoegang, zoals tijdstempels, gebruiker-IDs, apparatentypes, toegepast beleid, succes of mislukking van toegangsverzoeken, en redenen voor mislukkingen.

2. Rapportage en naleving: Logbestanden die door deze service worden verwerkt, zijn van cruciaal belang voor rapportage over naleving. Vele verordeningen vereisen organisaties om logboeken van gebruikerstoegang en veiligheidsgebeurtenissen te behouden. De M&T Log Processor Service zorgt ervoor dat alle relevante logbestanden worden verwerkt en beschikbaar zijn voor nalevingscontroles. Het helpt bij het genereren van gedetailleerde rapporten op basis van loggegevens, zoals logbestanden met gebruikerstoegang, succes-/mislukkingspercentages voor verificatie of logbestanden met beleidshandhaving.

Controleer en los de M&T-logprocessorservice in ISE op

1. Zorg ervoor dat het ISE-knooppunt wordt geïmplementeerd met de aanbevolen bronnen volgens de Cisco-installatiegids. 

2. Om het probleem te verifiëren, voer show logging systeem ade/ADE.log staartcommando uit via ISE CLI voor relevante uitzonderingen / fouten.

Bekende gebreken

Cisco bug-id ·15130

Service van certificeringsinstantie

De Dienst van de certificaatautoriteit (CA) is een kritieke component die helpt digitale certificaten beheren voor het beveiligen van mededelingen en het voor authentiek verklaren van apparaten, gebruikers, en netwerkdiensten. Digitale certificaten zijn essentieel voor het tot stand brengen van betrouwbare verbindingen en het waarborgen van veilige communicatie tussen clients (computers, smartphones, netwerkapparaten) en netwerkinfrastructuurcomponenten (switches, draadloze access points, VPN-gateways). De CA-service in Cisco ISE werkt in combinatie met X.509-certificaten, die worden gebruikt voor verschillende doeleinden in netwerkbeveiliging, waaronder 802.1X-verificatie, VPN-toegang, beveiligde communicatie en SSL/TLS-codering.

Belangrijkste functies van de dienst Certificaatbeheer in ISE

1. Certificaatbeheer: De dienst van de Certificaatautoriteit is verantwoordelijk voor de aanmaak, afgifte, het beheer en de vernieuwing van digitale certificaten binnen ISE. Deze certificaten worden gebruikt voor verschillende verificatieprotocollen en coderingsdoeleinden in het netwerk. Het kan fungeren als de interne certificeringsinstantie of integreren met een externe CA (bijvoorbeeld: Microsoft AD CS, openbare CA’s zoals VeriSign of DigiCert) om certificaten af te geven.

2. Afgifte van certificaten: Voor omgevingen waarvoor EAP-TLS of soortgelijke op certificaten gebaseerde verificatiemethoden vereist zijn, kan ISE-certificaten afgeven voor netwerktoegangsapparaten (NAD’s), gebruikers of endpoints. ISE kan automatisch certificaten genereren en implementeren voor het authenticeren van apparaten en gebruikers, of het kan certificaten aanvragen bij een externe CA.

3. Inschrijving van het certificaat: De CA-service ondersteunt certificaatinschrijving voor endpoints, zoals laptops, telefoons en andere netwerkapparaten, die via certificaten moeten worden geverifieerd naar het netwerk. ISE maakt gebruik van protocollen zoals SCEP (Simple Certificate Enrollment Protocol) of ACME (Automated Certificate Management Environment) om de inschrijving van certificaten voor apparaten te vergemakkelijken.

4. Verlenging van het certificaat: De service automatiseert de verlenging van verloopcertificaten voor zowel apparaten als gebruikers. Het zorgt ervoor dat de certificaten altijd geldig en bijgewerkt zijn, die de dienstonderbrekingen door verlopen certificaten verhinderen.

5. Integratie met externe certificeringsinstanties: terwijl ISE als eigen CA kan optreden, is het gebruikelijker om te integreren met een externe CA (bijvoorbeeld: Microsoft Active Directory (certificaatservices). De CA-service kan de interactie tussen ISE en de externe CA beheren, waarbij naar behoefte certificaten worden aangevraagd voor gebruikers, apparaten en netwerkbronnen.

EST-service

Inschrijving over Secure Transport (EST) Service is een protocol dat wordt gebruikt voor de veilige afgifte van digitale certificaten aan netwerkapparaten en gebruikers in een op certificaten gebaseerde verificatie-omgeving. EST is een protocol voor certificaatinschrijving waarmee apparaten op een veilige en geautomatiseerde manier certificaten kunnen aanvragen bij een certificeringsinstantie (CA). EST-service is met name nuttig voor apparaatverificatie, zoals in 802.1X-omgevingen, VPN-verbindingen of BYOD-scenario's (Bring Your Own Device), waarbij apparaten aan het netwerk moeten worden geverifieerd met behulp van certificaten.

Belangrijkste functies van de EST-service in ISE

1.Inschrijving certificaat: De EST-service is verantwoordelijk voor het mogelijk maken van beveiligde certificaatinschrijving voor apparaten (zoals switches, toegangspunten of endpoints) waarvoor certificaten vereist zijn voor verificatiedoeleinden. De inschrijving vindt plaats via een beveiligd transport (doorgaans HTTPS), waarbij het proces wordt versleuteld en beschermd tegen toegang door onbevoegden.

2. Intrekking en verlenging van het certificaat: Zodra certificaten zijn ingeschreven, speelt de EST-dienst ook een rol bij het beheer van de intrekking of verlenging van certificaten. Apparaten moeten bijvoorbeeld een nieuw certificaat aanvragen wanneer het huidige certificaat verloopt. EST kan dit proces helpen automatiseren.

3. Verbeterde netwerktoegangscontrole: Door apparaten in staat te stellen om te authenticeren met behulp van certificaten, versterkt de EST-service de veiligheidshouding van het netwerk, met name in omgevingen met 802.1X-verificatie.

Controleer of de certificeringsinstantie en de EST-service niet actief zijn/niet worden geïnitialiseerd

1. Ga naar Beheer > Systeem > Certificaten > Certificaatautoriteit > Interne CA-instellingen. Zorg ervoor dat CA, EST en OCSP Responder Status gesorteerd en ingeschakeld is.
2. Handige debugs die kunnen helpen bij het oplossen van problemen zijn est , provisioning , ca-service en ca-service-cert. Zie toise-psc.log , catalina.out, caservice.log , en error.log bestanden.
3. Controleer of ISE Root CA en ISE Messaging Certificates geldig zijn in de implementatie. Als de verlenging van ISE Root CA vereist is, navigeer dan naar Beheer > Certificaten > Certificaat Ondertekeningsaanvragen > Generate Certificate Signing Verzoek, selecteer gebruik als ISE Root CA. Klik op Verlengen ISE-basisstation CA.

SXP Engine-service

SXP Engine Service is verantwoordelijk voor het beheer en het vergemakkelijken van de communicatie tussen ISE en netwerkapparaten met behulp van de Security Group Tag (SGT) en Security Group Exchange Protocol (SXP). Het speelt een kritieke rol in het ondersteunen van TrustSec-beleid, dat wordt gebruikt om netwerktoegangscontrole af te dwingen op basis van de Security Group van het apparaat in plaats van alleen IP-adressen of MAC-adressen. De SXP Engine in ISE wordt voornamelijk gebruikt voor de uitwisseling van informatie over beveiligingsgroepen, die helpt bij het afdwingen van beleid op basis van gebruikers- of apparaatidentiteit, toepassing en locatie. Hiermee kunnen apparaten Security Group Tags (SGT's) delen, die worden gebruikt om beveiligingsbeleid af te dwingen over netwerkapparaten, zoals switches en routers.

Belangrijkste functies van de SXP Engine Service in ISE

1.Integratie met TrustSec: SXP wordt meestal geïmplementeerd in omgevingen die gebruikmaken van Cisco TrustSec, een oplossing die een consistent beveiligingsbeleid via zowel bekabelde als draadloze netwerken afdwingt. De SXP Engine vergemakkelijkt de communicatie van SGT's tussen apparaten, waardoor dynamische beleidshandhaving mogelijk wordt op basis van de veiligheidscontext van een apparaat of gebruiker.

2. Security Group Tags (SGT’s): De kern van de beleidshandhaving van TrustSec draait om SGT’s. Deze tags worden gebruikt om netwerkverkeer te classificeren en het SXP-protocol helpt bij het delen van de toewijzing van deze tags aan specifieke gebruikers of apparaten. Dit zorgt voor granulaire, beleidsgestuurde controle over netwerktoegang en verkeersstroom.

Verificatie en probleemoplossing voor SXP Engine Service in ISE

1. Standaard is de SXP Engine-service uitgeschakeld in ISE. Als u dit wilt inschakelen, gaat u naar de ISE-GUI > Beheer > Implementatie en selecteert u het knooppunt. Selecteer het vakje SXP-service inschakelen en kies de interface. Controleer vervolgens de status van de SXP Engine service van de ISE CLI met de opdracht Application Status ISE.

2.Als er problemen zijn met netwerkcommunicatie, controleert u of de interface die is toegewezen aan de SXP-engine een geldig IP-adres heeft met behulp van de opdracht interface tonen in de CLI en zorgt u ervoor dat het IP-subnet is toegestaan in het netwerk.

3. Controleer de actieve RADIUS-logbestanden om de gebeurtenissen met de SXP-verbinding op ISE te verifiëren.

4.Schakel de SXP-component op de ISE-knooppunten in om relevante logs en uitzonderingen met betrekking tot SXP te debuggen en vast te leggen.

TC-NAC-service

TC-NAC Service (TrustSec Network Access Control) is een component die de handhaving van TrustSec-beleid op netwerkapparaten vergemakkelijkt, waarbij ervoor wordt gezorgd dat het toegangsbeheer is gebaseerd op Security Group Tags (SGT's) in plaats van traditionele IP- of MAC-adressen.

TrustSec, op zijn beurt, is een door Cisco ontwikkeld kader dat de handhaving van het veiligheidsbeleid over het netwerk toelaat dat op apparatenrollen, gebruikers, of contexten wordt gebaseerd, eerder dan het gebruiken van erfenismechanismen zoals VLAN’s of IP-adressen. Het biedt een meer granulaire en dynamische netwerktoegangscontrole door apparaten te groeperen in verschillende beveiligingsgroepen en ze te labelen met SGT's.

Belangrijkste functies van de TC-NAC-service in ISE

1. Integratie met NAC-systemen van derden: De TC-NAC-service stelt ISE in staat te communiceren en te communiceren met oplossingen van derden voor netwerktoegangscontrole. Dit kan handig zijn voor organisaties die over een bestaande NAC-infrastructuur beschikken, maar deze willen integreren met Cisco ISE om de functionaliteit te verbeteren, extra beveiligingsbeleid te gebruiken of gebruik te maken van andere netwerkbeveiligingsfuncties van Cisco.

2. Naadloze handhaving van het beleid: Wanneer zij geïntegreerd is met NAC-oplossingen van derden, kan ISE bepaalde aspecten van beleidshandhaving en besluitvorming overnemen. Dit maakt een meer uniform beleidskader mogelijk en zorgt ervoor dat het beleid dat wordt toegepast door zowel Cisco- als niet-Cisco NAC-systemen consistent is over het netwerk.

3. Ondersteuning voor oudere NAC-systemen: De TC-NAC Service helpt organisaties die bestaande NAC-systemen hebben, zodat ze deze systemen kunnen blijven gebruiken terwijl ze Cisco ISE overnemen voor de verbeterde beveiligingsfuncties. ISE kan integreren met oudere NAC-oplossingen en hun levenscyclus uitbreiden, waardoor toegangscontrole, beveiliging en nalevingscontrole tegelijkertijd mogelijk zijn.

4. Bevordering van de communicatie met NAC-leveranciers door derden: Deze service maakt het mogelijk dat ISE de communicatie met NAC-oplossingen van derden vergemakkelijkt door gebruik te maken van bedrijfseigen protocollen of standaarden. ISE kan interacteren met de NAC-systemen van derden via industriestandaard protocollen (zoals RADIUS, TACACS+ of SNMP) of aangepaste API's, afhankelijk van de specifieke NAC-oplossing die wordt gebruikt.

Controleer de TC-NAC service en probleemoplossing in ISE-mail

1. Controleer of Threat Centric NAC is ingeschakeld door te navigeren naar Beheer > Implementatie > PSN-knooppunt > Threat Centric NAC inschakelen.

2. Als het probleem zich voordoet bij de SourceFireAMP-adapter, controleert u of poort 443 is toegestaan in uw netwerk.

3. Controleer de details van de endpointsessie van Operations > Threat-Centric NAC Live Logs.

Alarmen geactiveerd door Threat Centric NAC:

• Adapter niet bereikbaar (syslog-id: 91002): Geeft aan dat de adapter niet kan worden bereikt.

• Adapterverbinding mislukt (syslog-id: 91018): Geeft aan dat de adapter bereikbaar is, maar dat de verbinding tussen de adapter en de bronserver uitvalt.

• Adapter gestopt vanwege fout (syslog ID: 91006): Dit alarm wordt geactiveerd als de adapter niet in de gewenste toestand verkeert. Als dit alarm wordt weergegeven, controleert u de adapterconfiguratie en de serverconnectiviteit. Raadpleeg de logboeken van de adapter voor meer informatie.

• Adapterfout (syslog-id: 91009): Geeft aan dat de adapter van Qualys geen verbinding kan maken met of informatie kan downloaden van de website van Qualys.

Handige debugs om de TC-NAC problemen op te lossen:

• via-runtime (varuntime.log)
• va-service (varuntime.log en vaggregation.log)
• TC-NAC (ise-psc.log)
• ANC (ise-psc.log)

Passive-id WMI-service

De PassiveID WMI-service is een service waarmee ISE apparaatprofilering kan uitvoeren met Windows Management Instrumentation (WMI) als een passief mechanisme voor het identificeren en profileren van endpoints in het netwerk. Het speelt een cruciale rol in apparatenprofilering, in het bijzonder in milieu's waar de apparaten die Windows OS in werking stellen nauwkeurig voor netwerktoegangscontrole en beleidshandhaving moeten worden geïdentificeerd.    

Belangrijkste functies van de PassiveID WMI-service in ISE

1. Verzameling van apparaatidentiteiten: Met de PassiveID WMI-service kan ISE passief identiteitsinformatie verzamelen van Windows-apparaten met Windows Management Instrumentation (WMI). Het verzamelt systeemdetails zoals de hostnaam van het apparaat, OS-versie, en andere relevante kenmerken zonder dat het apparaat actief moet deelnemen.

2. Integratie met het ISE-beleid: De informatie die door de PassiveID WMI-dienst wordt verzameld, is geïntegreerd in het ISE-beleidskader. Het helpt bij de dynamische toepassing van beleid op basis van apparaatkenmerken zoals type, besturingssysteem en naleving van beveiligingsstandaarden.

Controleer en los de PassiveID WMI-service op

Een zeer veilige en nauwkeurige bron, evenals de meest voorkomende, van waaruit om gebruikersinformatie te ontvangen. Als sonde, werkt AD met technologie WMI om geauthentiseerde gebruikersidentiteiten te leveren. Bovendien, AD zelf, in plaats van de sonde, functioneert als een bronsysteem (een leverancier) waarvan andere sondes gebruikersgegevens eveneens terugwinnen.

Handige debugs en informatie die vereist is voor het oplossen van problemen. Stel deze kenmerken in op debug niveau voor PassiveID WMI-problemen:

• Passieve ID (passief*) 
• runtime-logging (poortserver.log)
• Active Directory (ad)_agent.log) - trackniveau
• Collector (Collector.log) (op PassiveID, MnT-knooppunten en op actieve pxGrid-knooppunten indien sessies worden gepubliceerd)
• pxGrid (pxgrid/) (op secundaire MnT en actieve pxGrid-knooppunt als de sessies worden gepubliceerd)

Informatie vereist voor probleemoplossing PassiveID WMI:

1. Werkte het al eerder? Alle wijzigingen die onlangs zijn aangebracht.  (Net als upgrade installeert patch op ISE/upgrade op DC)
2. Is Test-verbinding werkt prima (voor integratie, controleren op Test-verbinding)
3. Details over gebruikersnaam gebruikt om zich aan te sluiten bij AD en gebruikersnaam gebruikt voor WMI. (of admin of niet admin account)
4. Controleer of de gebeurtenissen (4768, 4770) in DC zijn vastgelegd. (gebeurtenisviewer-log van DC)
5. Logboeken vastleggen: Stel debug-niveau in voor passieve id en runtime-logging en voer vervolgens configuratie wmi uit voor dat DC, AD - traceer niveau met tijdstempel.

Passive-id systeemservice

De PassiveID Syslog Service is een service die de PassiveID-profileringsfunctie in staat stelt om syslog-berichten van netwerkapparaten in de omgeving te verzamelen en te verwerken. Deze syslogberichten bevatten belangrijke informatie over de eindpunten die met het netwerk zijn verbonden en ISE gebruikt deze apparaten om deze apparaten te profileren voor netwerktoegangscontrole en beleidshandhaving.    

Belangrijkste functies van de Passive ID Syslog Service

1. Passieve verificatie: Met de service Passive ID Syslog kan Cisco ISE gebruikers en apparaten passief verifiëren door syslog-berichten te verzamelen van netwerkapparaten (zoals switches of routers) die de activiteit van gebruikers en apparaten aangeven. Dit is handig in situaties waar traditionele actieve methoden van authenticatie, zoals 802.1X, niet geschikt of haalbaar is.

2. Vastlegging van gebeurtenissen: De Passieve ID Syslog-service vertrouwt op het syslog-protocol om logbestanden te ontvangen van netwerkapparaten die de gebruikerstoegang en het gedrag op het netwerk volgen. De informatie in deze logboeken kan dingen zoals apparatenlogin pogingen, toegangspunten, en interfacedetails omvatten, die ISE passief helpen het apparaat of de gebruiker identificeren.

Passive-id API-service

De PassiveID API Service is een service die integratie met systemen mogelijk maakt die informatie vereisen over de identiteit van apparaten of gebruikers die zijn verbonden met het netwerk. Het wordt meestal gebruikt in omgevingen waar netwerkbeheerders op identiteit gebaseerde beleidsregels en acties willen uitvoeren zonder dat voor elk apparaat actieve netwerkverificatieprotocollen zoals 802.1X nodig zijn.

Belangrijkste functies van de Passieve ID API-service

1. Integratie met externe systemen: Met de Passieve ID API kan ISE identiteitsinformatie ontvangen van systemen of netwerkapparaten van derden (zoals switches, routers, firewalls of andere systemen die identiteitsgerelateerde gebeurtenissen kunnen genereren). Deze externe systemen kunnen informatie verzenden zoals syslog-berichten, authenticatielogboeken of andere relevante gegevens die ISE kunnen helpen om een gebruiker of apparaat passief te identificeren.

2. Passieve verificatie: De Passive ID API-service wordt gebruikt om gebruikers en apparaten passief te authenticeren door identiteitsgegevens te verzamelen zonder actieve verificatie te vereisen (bijvoorbeeld: geen 802.1X, MAB of webverificatie nodig). Het kan bijvoorbeeld informatie opnemen van netwerkapparaten, Active Directory-logbestanden of beveiligingsapplicaties en deze gebruiken om de gebruiker of het apparaat te identificeren.

3. Toewijzing van identiteitsgegevens: De Passieve ID API kan worden gebruikt om identiteitsgegevens in kaart te brengen aan specifiek beveiligingsbeleid. Deze informatie wordt gebruikt om dynamisch Security Group Tags (SGT’s) of rollen toe te wijzen aan gebruikers en apparaten, die dan van invloed zijn op de handhaving van netwerktoegangscontroles (zoals segmentering en firewallbeleid).

Service voor Passive ID Agent

De PassiveID Agent Service is een service die apparaatprofilering mogelijk maakt door het gebruik van PassiveID Agents die op endpoints zijn geïnstalleerd (zoals computers, laptops, mobiele apparaten enzovoort). De PassiveID Agent stelt ISE in staat om het profileren van informatie over apparaten op het netwerk te verzamelen door te luisteren naar verkeer van endpoints, zonder actieve scans of directe interacties met de apparaten te vereisen. 

Belangrijke functies van de Passive ID Agent Service

1. Passieve gebruikers- en apparaatidentificatie: De service Passive ID Agent is verantwoordelijk voor het passief verzamelen van identiteitsgerelateerde informatie, doorgaans van netwerkapparaten of endpoints, en het verzenden van deze gegevens naar ISE. Met deze service kan ISE gebruikers en apparaten authenticeren en identificeren op basis van hun activiteiten of kenmerken, zonder dat actieve verificatie van het apparaat nodig is (bijvoorbeeld: zonder 802.1X-referenties).

2. Integratie met andere Cisco-componenten: De Passieve ID Agent werkt nauw samen met Cisco-netwerkapparaten, zoals switches, draadloze controllers en access points, om identiteitsgerelateerde informatie te verzamelen van netwerkverkeer, syslog-logbestanden of andere beheersystemen. Het kan ook worden geïntegreerd met Cisco TrustSec en Cisco Identity Services om deze gegevens in kaart te brengen naar specifieke Security Group Tags (SGT’s) of ander op identiteit gebaseerd beleid.

3. Contextuele netwerktoegangscontrole: De passieve ID-agent stuurt deze informatie naar Cisco ISE, die vervolgens het juiste toegangscontrolebeleid toepast op basis van de identiteit en context van de gebruiker of het apparaat. Dit kan zijn:

• Op rollen gebaseerde toegangscontrole.
• Dynamische VLAN-toewijzing.
• Netwerksegmentatie.
• Beveiligingsbeleid uitvoeren op basis van de gebruikersrol of de beveiligingshouding van het apparaat.

PassiveID-endpointservice

De PassiveID Endpoint Service is een service die verantwoordelijk is voor de identificatie en profilering van endpoints (apparaten) op het netwerk op basis van PassiveID-technologie. Deze service helpt ISE bij het verzamelen, verwerken en classificeren van informatie over apparaten die verbinding maken met het netwerk, zonder dat actieve interactie met de endpoints zelf vereist is. De PassiveID Endpoint Service speelt een kritieke rol bij het profileren, het beheer van netwerktoegang en de handhaving van het beveiligingsbeleid.

Belangrijkste functies van de PassiveID Endpoint Service

1. Passieve gebruikers- en apparaatidentificatie: De Passive ID Endpoint Service stelt Cisco ISE in staat apparaten op het netwerk passief te identificeren en te authenticeren door gebruik te maken van informatie uit netwerkactiviteit- of systeemlogboeken. Dit omvat het identificeren van gebruikers en apparaten op basis van hun netwerkgedrag of kenmerken, zoals MAC-adres, IP-adres of inloginformatie van een externe identiteitswinkel zoals Active Directory (AD).

2. Gegevensverzameling op eindpunten: De Endpoint Service verzamelt verschillende soorten endpointspecifieke gegevens uit verschillende bronnen:

• Gebruiker log in informatie van externe identiteitswinkels zoals Active Directory of andere mappen.
• Apparaatkenmerken zoals IP-adressen, MAC-adressen en apparaattype (bijvoorbeeld: of het apparaat een Windows-pc, mobiele telefoon of IoT-apparaat is).
• De netwerkactiviteit van het eindpunt zoals DHCP-verzoeken, ARP-verzoeken en andere communicatie op de netwerklaag.

Passive-ID SPAN-service

De PassiveID SPAN-service is een service die SPAN-poort (Switched Port Analyzer) spiegelt op netwerkapparaten om netwerkverkeer op te nemen en te analyseren voor endpointprofilering. Deze service helpt ISE passief informatie te verzamelen over endpoints (apparaten) op het netwerk door hun netwerkcommunicatiepatronen te analyseren zonder actieve sondes of agents te vereisen die op de apparaten zelf zijn geïnstalleerd.

Belangrijke functies van de PassiveID SPAN-service

1. Passieve identiteitsverzameling van SPAN-verkeer: De PassiveID SPAN-service stelt ISE in staat om identiteitsgegevens te verzamelen op basis van netwerkverkeer dat wordt gespiegeld of gekopieerd via een SPAN-poort op een switch. Een SPAN-poort wordt doorgaans gebruikt voor netwerkbewaking door netwerkverkeer vanaf andere poorten of VLAN’s te spiegelen. Door dit verkeer te vangen, kan ISE passief identiteitsinformatie verzamelen zoals:

• MAC-adressen van apparaten.
• IP-adressen gekoppeld aan apparaten.
• DHCP-verzoeken of andere identiteitsgerelateerde informatie van het opgenomen verkeer.
• Verificatielogboeken van netwerkapparaten, zoals switches of draadloze controllers.

2. Opname van informatie over gebruikers- en apparaatidentiteit: De SPAN-service luistert vooral naar het verkeer dat door het netwerk gaat en identificeert belangrijke identiteitsinformatie van de netwerkpakketten zonder dat er direct met de apparaten hoeft te worden gecommuniceerd. Dit kan gegevens omvatten zoals:

• Gebruikersidentiteiten wanneer ze worden geverifieerd via protocollen zoals EAP (Extensible Verification Protocol).
• Apparaatidentiteiten op basis van MAC-adressen en IP-adressen.
• Apparaatrollen en -gedrag op basis van de waargenomen verkeerspatronen en -gebeurtenissen.

Verificatie en probleemoplossing voor PassiveID-stack (PassiveID SPAN-service, PassiveID-syslog-service, PassiveID-endpointservice, PassiveID Agent, PassiveID API-service)

1. PassiveID stack is een lijst van providers en alle services in PassiveID stack worden standaard uitgeschakeld. Navigeer naar ISE GUI > Beheer > Implementatie > Selecteer het knooppunt, Passieve Identity Service inschakelen, klik op Opslaan. Om de PassiveID stack-servicestatus te verifiëren, meldt u zich aan bij de CLI van ISE-knooppunt en voert u de opdracht Application Status Sise uit.

2. Als er problemen zijn met de Passieve ID Agent, controleert u of de FQDN van de agent oplosbaar is vanuit de ISE-knooppunt. Om dit uit te voeren, logt u in op de ISE-CLI en voert u nslookup < FQDN of Agent geconfigureerd > opdracht uit.

3. Zorg ervoor dat de ISE Indexing-engine actief is en dat zowel omgekeerde als voorwaartse DNS-lookups worden opgelost door de DNS- of naamserver die in ISE is geconfigureerd.

4. Om naadloze communicatie met de syslogproviders te garanderen, controleer UDP-poort 40514 en TCP-poort 1468 zijn geopend in uw netwerk.

5. Als u SPAN-provider op een knooppunt wilt configureren, controleert u of de ISE-service voor passieve identiteit is ingeschakeld. Controleer of de interface die u op de SPAN-provider wilt configureren, beschikbaar is in ISE met behulp van de opdracht Show interface van ISE CLI.

Om de logbestanden te controleren, gebaseerd op de Passieve ID provider, moet u passiveid-syslog.log, passiveid-agent.log, passiveid-api.log, passiveid-endpoint.log, passiveid-span.log bekijken. De genoemde logbestanden kunnen worden beveiligd vanuit de ondersteuningsbundel van ISE-knooppunt. 

DHCP-server (dhcpd)

De DHCP Server (dhcpd) Service is een service die Dynamic Host Configuration Protocol (DHCP) functionaliteit biedt voor netwerkapparaten. Het wordt voornamelijk gebruikt om IP-adressen toe te wijzen aan apparaten (endpoints) die proberen verbinding te maken met het netwerk. In ISE speelt de DHCP-server een cruciale rol bij het ter beschikking stellen van IP-adressen aan endpoints die hierom vragen wanneer zij verbinding maken met het netwerk. De service kan ook aanvullende configuratie-informatie bieden, zoals DNS-servers, standaardgateway en andere netwerkinstellingen.

Belangrijkste functies van de DHCP Server (dhcpd) Service in ISE

1. Dynamische IP-adrestoewijzing: De dhcpd-service in ISE fungeert als een DHCP-server, die IP-adrestoewijzing biedt voor apparaten die een IP-adres aanvragen wanneer ze verbinding maken met het netwerk. Dit is belangrijk in scenario's waar apparaten zich dynamisch bij het netwerk aansluiten, zoals in BYOD-omgevingen (Bring Your Own Device) of wanneer apparaten zijn geconfigureerd om hun IP-adressen automatisch te verkrijgen.

2. Op profiel gebaseerde DHCP: De dhcpd-service kan IP-adressen toewijzen op basis van het profiel van het apparaat. Als ISE het apparaat heeft geprofileerd (bijvoorbeeld: het bepalen van het is een smartphone, laptop, IoT-apparaat), kan het een geschikt IP-adres toewijzen of andere instellingen toepassen op basis van het type apparaat of de rol.

3. Ondersteuning voor DHCP Relay: ISE kan functioneren als een DHCP relay-agent, door te sturen DHCP-verzoeken van apparaten naar een externe DHCP-server als ISE de eigenlijke IP-adrestoewijzing niet afhandelt. In dit geval kan de dhcpd-service verzoeken van apparaten doorsturen naar een centrale DHCP-server, terwijl ISE netwerkbeleid en toegangscontroles blijft toepassen.

DHCP-server (dhcpd) controleren en problemen oplossen

1. Neem contact op met Cisco TAC om te controleren of het DHCP-serverpakket op de ISE is geïnstalleerd.

2. Log in op de basis van ISE > rpm -qi dhcp. 

DNS-server (genaamd)

De DNS Server (met naam) Service is een service waarmee ISE kan fungeren als een DNS-server (Domain Name System) of DNS-oplosser. Het is in de eerste plaats verantwoordelijk voor het oplossen van domeinnamen in IP-adressen en vice versa, het faciliteren van de communicatie tussen apparaten in het netwerk.  

Belangrijkste functies van de DNS-serverservice (benoemde) in ISE

1. DNS-resolutie voor ISE-communicatie: De genoemde dienst in ISE helpt om domeinnamen aan IP adressen op te lossen. Dit is vooral belangrijk wanneer ISE verbinding moet maken met andere netwerkapparaten of externe services (zoals Radius-servers, Active Directory of externe NTP-servers) met domeinnamen in plaats van IP-adressen.

• Wanneer ISE bijvoorbeeld een Radius-server of een externe directory service (zoals Active Directory) moet bereiken, moet de domeinnaam van die server worden opgelost naar een IP-adres.
• ISE vraagt de DNS-server die op het systeem is geconfigureerd om deze domeinnamen op te lossen, waardoor een soepele communicatie wordt gewaarborgd.

2. DNS-resolutie voor externe diensten: De DNS-dienst stelt ISE in staat om verbinding te maken met externe diensten die domeinnamen vereisen. Zo moet ISE bijvoorbeeld de namen van externe diensten oplossen zoals:

• Cloud-gebaseerde services.
• NTP-servers (Network Time Protocol).
• Certificaatautoriteiten (CA’s) of LDAP-servers.

3. Multidomein- en redundante DNS-servers: ISE kan worden geconfigureerd voor het gebruik van meerdere DNS-servers voor redundantie. In het geval dat één DNS server niet beschikbaar wordt, kan ISE terugvallen op een andere DNS server om ononderbroken werking en DNS resolutie te verzekeren.

Verifiëren en probleemoplossing voor DNS-server (genaamd)

1. Controleer vanaf CLI van ISE-knooppunt de bereikbaarheid om server of DNS-server van de implementatie een naam te geven met de opdracht <IP of DNS-server / naam server>.

2. Controleer de DNS-resolutie van ISE-FQDN’s met behulp van de opdracht nslookup <FQDN/IP-adres van ISE-knooppunten> via ISE-CLI.

ISE-berichtenservice

De ISE Messaging Service is een onderdeel dat asynchrone communicatie tussen verschillende diensten en componenten binnen het ISE-systeem vergemakkelijkt. Het speelt een cruciale rol in de algehele systeemarchitectuur van ISE, waardoor verschillende delen van het platform berichten kunnen verzenden en ontvangen, taken kunnen beheren en activiteiten kunnen synchroniseren.

Belangrijkste functies van de ISE-berichtenservice

1. Inter-Process Communication (IPC): De ISE Messaging Service speelt een belangrijke rol in het mogelijk maken van interprocess communicatie (IPC) tussen verschillende ISE-diensten. Het zorgt ervoor dat verschillende ISE-modules en -diensten, zoals authenticatie, autorisatie en beleidshandhaving, gegevens en instructies op een gecoördineerde manier kunnen uitwisselen.

2. Ondersteuning van gedistribueerde omgeving: In grotere of gedistribueerde ISE-implementaties (zoals in configuraties met meerdere knooppunten of hoge beschikbaarheid) helpt de Messaging Service de communicatie tussen de verschillende ISE-knooppunten te vergemakkelijken. Dit waarborgt dat gegevens, zoals verificatieverzoeken, gebruikerssessies en beleidsupdates, correct gesynchroniseerd zijn over verschillende knooppunten binnen het ISE-systeem.

3. Beleids- en configuratiesync: De Messaging Service is betrokken bij het synchroniseren van configuraties en beleid tussen ISE-knooppunten. Wanneer de configuratie wordt gewijzigd in een primair knooppunt, zorgt de service ervoor dat deze wijzigingen worden doorgegeven aan secundaire of back-upknooppunten in het systeem. Dit is essentieel bij het handhaven van consistentie en het ervoor zorgen dat het beleid voor netwerktoegang dat op verschillende locaties of gedistribueerde ISE-knooppunten wordt toegepast, gesynchroniseerd blijft.

Controleer of de ISE-berichtenservice niet actief is of niet wordt geïnitialiseerd

1. Controleer dat poort TCP 8671 niet geblokkeerd is in firewall, aangezien deze poort wordt gebruikt voor communicatie tussen ISE-apparaten onderling. 

2. Controleer voor wachtrij link fout en als er zijn, vernieuw de ISE-berichten en ISE Root CA-certificaten als wachtrij link fouten meestal optreden vanwege de interne certificaat corruptie problemen. Om fouten in de wachtrij op te lossen, vernieuwt u het ISE-berichtenverkeer en het ISE-rootcertificaat van CA door te verwijzen naar het artikel: ISE- Queue Link Error

3. Vanuit GUI -> Administratie -> Certificaten -> Selecteer ISE-berichtencertificaat. Klik op Weergave om de status van het certificaat te controleren. 

Handige logbestanden om problemen op te lossen ISE Messaging Service is ade.log dat beschikbaar is in de ondersteuningsbundel of kan worden getaild via CLI door gebruik te maken van show logging systeem ade/ADE.log staart opdracht tijdens het probleem.

4. Als de ADE.log showup rabbitmq: verbinding geweigerd fouten, neem contact op met Cisco TAC om de vergrendeling voor Rabbitmq module te verwijderen van ISE Root. 

ISE API-gatewaydatabaseservice

De ISE API Gateway Database Service is een onderdeel dat verantwoordelijk is voor het beheer en de verwerking van gegevens met betrekking tot API-verzoeken en antwoorden binnen het ISE-systeem. Het fungeert als een tussenpersoon die de ISE API Gateway met de ISE API-database verbindt, waardoor Aangepaste toepassingen ook gegevens binnen ISE kunnen bijwerken of wijzigen. (Bijvoorbeeld, het aanpassen van toegangsbeleid of het toevoegen/verwijderen van gebruikers) door API-oproepen die door de service worden beheerd.

Belangrijkste functies van de ISE API Gateway Database Service

1. API-toegang tot ISE-gegevens: De ISE API Gateway Database Service fungeert als een brug, waardoor externe applicaties via de ISE RESTful API's kunnen interacteren met de ISE-database. Deze API's kunnen worden gebruikt om gegevens op te halen of te wijzigen die zijn opgeslagen in de ISE-database, zoals:

• Logbestanden met gebruikersverificatie.
• Beleid voor netwerktoegang.
• Informatie over apparaatprofilering.
• Systeemconfiguratie en -instellingen.

2. Integratie van externe systemen mogelijk maken: Deze dienst speelt een cruciale rol bij de integratie van ISE in externe systemen zoals:

• Externe verificatieservers (LDAP, Active Directory, RADIUS).
• Netwerkbeheersystemen (NMS).
• Security Information and Event Management (SIEM)-oplossingen.
• Aangepaste toepassingen of services die moeten interageren met ISE-gegevens.

Door API-toegang te bieden, stelt de API Gateway Database Service deze externe systemen in staat om ISE-gegevens te bevragen, updates naar ISE te verzenden of specifieke acties binnen ISE te starten in reactie op externe gebeurtenissen.

3. Ondersteunende RESTful API-communicatie: ISE onthult RESTful API's die zijn ontworpen om te werken via HTTP/HTTPS. De API Gateway Database Service is verantwoordelijk voor het beheer van de stroom van API-verzoeken en antwoorden, waarbij ervoor wordt gezorgd dat verzoeken worden geauthenticeerd, verwerkt en dat de juiste gegevens uit de ISE-database worden teruggestuurd.

ISE API-gatewayservice

De ISE API Gateway Service is een cruciaal onderdeel dat RESTful API-toegang biedt tot ISE-services, gegevens en functies. Het fungeert als een brug tussen ISE en externe systemen, waardoor deze systemen programmatisch kunnen interacteren met ISE-netwerktoegangscontrole, beleidshandhaving, authenticatie en andere diensten. De API Gateway stelt toepassingen van derden, netwerkbeheersystemen en aangepaste toepassingen in staat om met Cisco ISE te communiceren zonder handmatige interventie of directe toegang tot de ISE-gebruikersinterface.

Belangrijkste functies van de ISE API Gateway-service

1. API-toegang tot ISE inschakelen: De ISE API Gateway Service maakt het mogelijk dat externe systemen veilig toegang hebben tot en communiceren met Cisco ISE-gegevens en -beleid met behulp van RESTful API's. Dit biedt programmatische toegang tot ISE-functies, zoals authenticatie, beleidshandhaving, sessiebeheer en meer.

2. Programmatische controle: De API Gateway Service maakt programmatische controle over ISE-functies mogelijk. Beheerders en ontwikkelaars kunnen API's gebruiken om:

• Netwerkbeleid ophalen of wijzigen.
• Gebruikerssessies en verificatielogboeken zoeken of beheren.
• Maak en beheer regels voor netwerktoegangscontrole.
• Apparaatprofielen openen of bijwerken.

Deze controle kan voor automatisering of douanewerkstroomorkestratie worden hefboomd, zoals dynamisch het aanpassen van netwerktoegangsbeleid dat op gegevens in real time wordt gebaseerd of het integreren van ISE in een breder platform van de veiligheidsautomatisering.

3. Monitoring en rapportage: De API Gateway Service maakt het mogelijk dat externe systemen gegevens verzamelen uit operationele ISE-logboeken, sessiegeschiedenis en beleidsafdwingingsdetails. Dit is belangrijk voor:

• Rapportage van naleving.
• Beveiligingsbewaking.
• Incidentele respons.

API-oproepen kunnen worden gebruikt om logbestanden, audit-informatie en gebeurtenissen op te halen, zodat beveiligingsteams de ISE-activiteiten kunnen bewaken vanuit een gecentraliseerd dashboard of rapportagetool.

Controleer en los problemen op met de ISE API Gateway-service en de ISE API Gateway-databaseservice

1. Controleer of het beheercertificaat van het ISE-knooppunt actief en geldig is. Navigeer naar Beheer > Certificaten > Selecteer het knooppunt > Beheer certificaat selecteren. Klik op Weergave om de status van het beheercertificaat van het ISE-knooppunt te verifiëren. 

2. Stel ISE-api-gateway, api-gateway, apiservice-componenten in om te debuggen en de logs kunnen worden getaild met behulp van deze opdrachten: 

• toon registrerentoepassing ise-psc.log staart
• toon registrerentoepassing api-gateway.log staart

ISE PxGrid directe service

De ISE PxGrid Direct Service is een kritieke component die de functionaliteit van pxGrid (Platform Exchange Grid) in ISE ondersteunt. pxGrid is een Cisco-technologie die veilig, gestandaardiseerd en schaalbaar delen van gegevens en integratie tussen Cisco-netwerkbeveiligingsoplossingen en toepassingen, services en apparaten van derden vergemakkelijkt. De ISE pxGrid Direct Service maakt directe communicatie tussen ISE en andere pxGrid-compatibele systemen mogelijk zonder dat er intermediaire apparaten of diensten nodig zijn.   

Belangrijkste functies van de ISE pxGrid Direct Service

1. Directe integratie met systemen van derden: De ISE pxGrid Direct Service maakt het mogelijk dat ISE direct kan integreren met de beveiligingssystemen van derden, zoals firewalls, routers, NAC-oplossingen, SIEM-platforms en andere beveiligingsapparaten. Het staat deze systemen toe om informatie betreffende de gebeurtenissen van de netwerktoegang, veiligheidsincidenten, en contextuele netwerkgegevens uit te wisselen.

2. Context sharing: Een van de belangrijkste functies van pxGrid is het delen van contextuele informatie (zoals apparaatidentiteiten, gebruikersrollen, veiligheidshouding en netwerktoegangsinformatie). Met de PxGrid Direct Service kan ISE deze context direct delen met andere apparaten of toepassingen zonder te vertrouwen op traditionele methoden zoals RADIUS of TACACS+.

3. Vereenvoudigde communicatie: Door pxGrid te gebruiken, kan ISE informatie communiceren en uitwisselen met oplossingen van derden door gebruik te maken van een gestandaardiseerd protocol. Dit vereenvoudigt het integratieproces, omdat systemen geen eigen integraties nodig hebben voor elke oplossing van een derde.

4. Verbeterde beveiliging en naleving: De PxGrid Direct Service verbetert ook de veiligheidshouding en -naleving door ervoor te zorgen dat alle systemen in het netwerk-ecosysteem toegang hebben tot dezelfde realtime, contextuele gegevens over gebruikers, apparaten en beveiligingsbeleid. Dit zorgt voor een beter gecoördineerde handhaving van het netwerkbeveiligingsbeleid in de gehele omgeving.

Controleer en los problemen op met ISEPxgrid Direct-service

1. Neem contact op met Cisco TAC om te verifiëren of edda*.lock* aanwezig is in de /tmp map. Als dat het geval is, verwijdert Cisco TAC de vergrendeling en start de Direct-service van PxGrid uit de hoofdmap opnieuw.

2. Stel de PxGrid Direct-component in om te debuggen in het ISE-knooppunt voor probleemoplossing. De logbestanden kunnen worden beveiligd via ISE-ondersteuningsbundel of ISE-CLI met behulp van deze opdrachten:

logboekapplicatie pxgriddirect-service.log tonen

toon registrerentoepassing pxgriddirect-connector.log

De genoemde logbestanden bieden informatie over de endpointgegevens die worden opgehaald en ontvangen door Cisco ISE, samen met de connectiviteitsstatus van NetGrid Connector.

Segmentatiebeleidsservice

De Segmentatiebeleidsservice is een belangrijke component die verantwoordelijk is voor het afdwingen van beleid voor netwerksegmentatie op basis van gebruikersidentiteit, apparaatpositie of andere contextuele informatie. Het helpt de toegang van gebruikers en apparaten tot specifieke netwerksegmenten te controleren, ervoor zorgend dat slechts de gemachtigde gebruikers of de volgzame apparaten tot bepaalde delen van het netwerk kunnen toegang hebben.  Netwerksegmentatie is essentieel voor het beperken van de aanvalsoppervlakte van het netwerk, het voorkomen van zijdelingse beweging van bedreigingen, en het verzekeren van naleving van regels. De Segmentation Policy Service in ISE wordt gebruikt om deze netwerksegmentatieregels dynamisch en flexibel over het netwerk af te dwingen.      

Belangrijkste functies van de Segmentatiebeleidsservice

1. Netwerksegmenten definiëren: Met de Segmentation Policy Service in ISE kunnen beheerders verschillende netwerksegmenten (subnetten of VLAN’s) definiëren op basis van de kenmerken van gebruikers of apparaten. Voorbeeld:

• Apparaten met verschillende beveiligingshoudingen kunnen aan verschillende segmenten worden toegewezen (bijvoorbeeld: vertrouwde apparaten in één VLAN en onbetrouwbare apparaten in een ander).
• Gebruikers van verschillende afdelingen of rollen kunnen aan verschillende netwerksegmenten worden toegewezen om de minste rechten af te dwingen en de toegang tot gevoelige bronnen te beperken.

2. Dynamische segmentering: Deze service maakt dynamische netwerksegmentatie mogelijk, wat betekent dat de netwerksegmenten of VLAN’s kunnen veranderen op basis van real-time omstandigheden. Voorbeeld:

• Een gebruiker kan aan een specifiek VLAN worden toegewezen op basis van hun rol of status van de apparaatstatus.
• Een apparaat dat niet-conform wordt geacht of een verouderd besturingssysteem gebruikt, kan naar een quarantaine of gast-VLAN worden verplaatst totdat het wordt verholpen.

3. Op beleid gebaseerde handhaving: De Segmentation Policy Service maakt gebruik van beleid om beslissingen te nemen over de vraag in welk segment een apparaat of gebruiker moet worden geplaatst. Dit beleid kan rekening houden met verschillende factoren, zoals:

• Gebruikersidentiteit: Gebaseerd op de gebruikersrol of -kenmerken.
• Apparaatpositie: De gezondheids- of nalevingsstatus van het hulpmiddel (bijvoorbeeld: werkt zij met de nieuwste antivirussoftware?).
• Locatie: De fysieke locatie van de gebruiker of het apparaat in het netwerk (bijvoorbeeld: kantoor, gastenverblijf, toegang op afstand).
• Tijdstip van toegang: Het tijdstip van de dag of de dag van de week waarop het toegangsverzoek wordt ingediend.

4. Handhaving van het veiligheidsbeleid: De Segmentation Policy Service zorgt ervoor dat het beveiligingsbeleid consequent over netwerkapparaten (zoals switches, routers, firewalls) wordt afgedwongen door gebruik te maken van industriestandaarden zoals RADIUS en VLAN-toewijzing. Dit stelt Cisco ISE in staat met netwerkinfrastructuurapparaten te communiceren om het vereiste segmentatiebeleid af te dwingen.

Segmenteringsbeleidsservice controleren en probleemoplossing uitvoeren

1. Controleer of de segmentatie goed is geconfigureerd door te navigeren naar Werkcentra > TrustSec > Overzicht > Dashboard.

2. Werkcentra > TrustSec > Rapporten, selecteer TrustSec-rapporten om de status en rapporten van de dienst voor segmentatiebeleid te verifiëren. 

REST-autorisatieservice

De REST Autorisatieservice is een service die verificatiemogelijkheden biedt met behulp van RESTful API's. Het stelt externe toepassingen en systemen in staat om gebruikers of apparaten te authenticeren door interactie met ISE via HTTP(S) met behulp van standaard REST-protocollen. Deze service maakt een naadloze integratie van Cisco ISE-verificatiefuncties met toepassingen of systemen van derden mogelijk die gebruikers of apparaten moeten verifiëren, maar niet de traditionele methoden (zoals RADIUS of TACACS+) kunnen gebruiken.

Belangrijkste functies van de rest-autorisatiedienst

1. RESTvolledige verificatie: De REST Auth Service maakt verificatieaanvragen via het REST API-protocol mogelijk. Hierdoor zijn externe systemen mogelijk (bijvoorbeeld: toepassingen, externe netwerkapparaten of services) om gebruikers of apparaten te verifiëren met ISE als verificatieserver, maar via RESTful web service calls in plaats van traditionele verificatieprotocollen zoals RADIUS of TACACS+.

2. Integratie met externe toepassingen: Deze service is ontworpen voor externe toepassingen die gebruikers of apparaten moeten verifiëren maar geen traditionele verificatiemethoden (zoals RADIUS of TACACS+) gebruiken. In plaats daarvan kunnen ze via REST API's met ISE communiceren, waardoor het eenvoudiger wordt om ISE-verificatie te integreren in web-based of cloud-native applicaties.

3. Flexibele en schaalbare verificatie: De REST-autorisatieservice biedt een schaalbare methode van authenticatie die niet beperkt is tot alleen netwerkapparaten of oplossingen op locatie. Het kan worden gebruikt door cloudservices, mobiele applicaties en andere webgebaseerde platforms die gebruikers of apparaten moeten authenticeren door naar ISE te vragen voor referenties en beleid.

4. Gemakkelijk aan te brengen: De REST API biedt een gestandaardiseerde interface, die gemakkelijker is toe te passen en te integreren met moderne software en toepassingen in vergelijking met traditionele methoden. Het biedt door JSON geformatteerde reacties en gebruikt HTTP-methoden zoals GET, POST, PUT en DELETE, waardoor het toegankelijker wordt voor webontwikkelaars en systemen die ISE integreren voor verificatie.

Verificatie en probleemoplossing voor rustautorisatie

1. Om problemen met Open API op te lossen, stelt u een debug Service-component in.

2. Om problemen met betrekking tot ERS API op te lossen, stelt u ers component in voor debug.

Als de API service GUI pagina:  https://{iseip}:{port}/api/swagger-ui/index.html of https://{iseip}:9060/ers/sdk is toegankelijk, concludeert het dat de API-service werkt zoals verwacht.

Zie API-documentatie voor meer informatie over API.

SSE-connector

De SSE Connector (Secure Software-Defined Edge Connector) is een service die ISE integreert met de Cisco Secure Software-Defined Access (SD-Access)-oplossing. Met de SSE-connector kan ISE veilig communiceren met het Cisco DNA Center, waardoor geautomatiseerd netwerkbeleid, segmentering en Edge-beveiligingsbeheer in een SD-Access-omgeving mogelijk zijn.

Belangrijkste functies van de SSE-connector

1. Integratie met beveiligingssystemen van derden: De SSE-connector vergemakkelijkt de integratie van Cisco ISE met beveiligingssystemen van derden zoals firewalls, inbraakpreventiesystemen (IPS), netwerktoegangscontrolesystemen (NAC) en security informatie- en gebeurtenisbeheersystemen (SIEM). Deze externe systemen kunnen op een veilige manier gegevens van ISE verzenden of ontvangen, wat kan worden gebruikt voor een meer dynamische beleidshandhaving.

2. Realtime bedreigingsinformatie: Door ISE aan te sluiten op andere beveiligingssystemen maakt de SSE-connector de uitwisseling van realtime bedreigingsinformatie mogelijk. Deze informatie kan verdachte activiteit, gecompromitteerde endpoints, of kwaadaardig gedrag omvatten dat door andere veiligheidssystemen wordt ontdekt, die ISE toestaan om toegangsbeleid dynamisch aan te passen dat op huidige bedreigingsniveaus of apparatenstatus wordt gebaseerd.

3. Geautomatiseerde sanering: De integratie die mogelijk wordt gemaakt door de SSE Connector kan geautomatiseerde probleemoplossing ondersteunen. Als een systeem bijvoorbeeld wordt gemarkeerd als gecompromitteerd door een extern security apparaat, kan ISE automatisch beleid afdwingen dat de toegang tot het netwerk blokkeert of het eindpunt omleidt naar een gesaneerd netwerksegment voor verder onderzoek.

SSE-connector verifiëren en problemen oplossen

1. De SSE-connector wordt alleen ingeschakeld wanneer de Passive ID-service in ISE is ingeschakeld. 

2. De component sse-connector ( connector.log ) in debug biedt meer informatie over berichten die op SSE-connector betrekking hebben. 

Hermes (PXGrid Cloud Agent)

Hermes (pxGrid Cloud Agent) is een component die de integratie tussen ISE en het pxGrid (Platform Exchange Grid)-ecosysteem in een cloudomgeving vergemakkelijkt. Hermes is de cloud-gebaseerde agent die wordt gebruikt om communicatie mogelijk te maken tussen ISE en cloud-gebaseerde services of platforms, en ondersteunt het pxGrid-framework voor het delen van contextuele informatie over verschillende netwerk- en beveiligingssystemen.  

Belangrijkste kenmerken en functies van Hermes (pxGrid Cloud Agent)

1. Cloud-to-Premises-integratie: Hermes (pxGrid Cloud Agent) is ontworpen om naadloze integratie tussen cloudgebaseerde services en de ISE-infrastructuur op locatie te vergemakkelijken. Het breidt de kracht van pxGrid uit tot buiten de traditionele on-prem netwerkomgevingen, waardoor beveiligde gegevensuitwisseling en beleidshandhaving mogelijk wordt voor cloudgebaseerde toepassingen en services.

2. Ondersteuning van pxGrid-ecosystemen: pxGrid is een Cisco-platform voor het veilig delen van context en informatie over oplossingen voor netwerkbeveiliging. Hermes fungeert als cloudagent voor pxGrid, waardoor beveiligde real-time communicatie tussen ISE en verschillende cloudgebaseerde services mogelijk wordt. Deze integratie maakt het mogelijk dat netwerkbeveiligingsbeleid consistent is in zowel on-prem- als cloudomgevingen, waardoor het gemakkelijker wordt om beveiliging te beheren en af te dwingen.

3. Cloud-gebaseerde endpointzichtbaarheid: Een van de belangrijkste voordelen van Hermes is dat het zichtbaarheid biedt in cloud-gebaseerde endpoints, vergelijkbaar met hoe ISE zichtbaarheid biedt in on-prem endpoints. Het kan gegevens verzamelen over apparaten en gebruikers in de cloud, zoals hun conformiteitshouding, beveiligingsstatus en identiteitsinformatie. Hierdoor kan ISE netwerktoegangsbeleid op cloud-endpoints afdwingen, net als bij on-premisse-apparaten.

4. Naadloze uitbreiding van ISE naar cloudomgevingen: Een van de belangrijkste voordelen van Hermes is dat het een naadloze brug biedt tussen de ISE-omgeving op locatie en het groeiende aantal cloud-native applicaties. Dit maakt het gemakkelijker om het veiligheidsbeleid van ISE, authentificatiemethodes, en toegangscontroles tot wolkendiensten uit te breiden zonder een volledige revisie van de bestaande infrastructuur te vereisen.

Hermes (PxGrid Cloud Agent) verifiëren en problemen oplossen

1. Standaard is de Hermes-service uitgeschakeld. Door ISE te verbinden met de Cisco PxGrid-cloud wordt de Hermes-service ingeschakeld. Als de Hermes-service in ISE is uitgeschakeld, controleert u dus of de optie PxGrid Cloud is ingeschakeld vanuit ISE GUI > Administration > Implementation, selecteert u ISE-knooppunt. Bewerken, PxGrid Cloud inschakelen. 

2. Handige debugs voor problemen met betrekking tot de Pxgrid-cloud zijn hermes.log en pxcloud.log. Deze debugs zijn alleen beschikbaar op Pxgrid-knooppunt waar Pxgrid Cloud is ingeschakeld. 

McTrust (Meraki synchronisatieservice)

McTrust (Meraki Sync Service) is een service die integratie tussen Cisco ISE- en Cisco Meraki-systemen mogelijk maakt, specifiek voor het synchroniseren en beheren van netwerkapparaten en toegangsbeleid. De McTrust-service fungeert als een connector die gebruikers- en apparaatinformatie synchroniseert tussen Meraki’s cloudbeheerde netwerkinfrastructuur en ISE-identiteitsbeheersystemen op locatie en beleidsbeheersystemen.   

Belangrijkste kenmerken en functies van McTrust (Meraki Sync Service)

1. Naadloze integratie met Meraki-apparaten: McTrust stelt ISE in staat om te synchroniseren en te integreren met Meraki’s cloudbeheerde apparaten. Hieronder vallen apparaten zoals Meraki access points, switches en beveiligingstoestellen die deel uitmaken van Meraki’s portfolio. Hiermee kan ISE rechtstreeks communiceren met de infrastructuur van Meraki, waardoor het makkelijker wordt om beleid voor netwerktoegangscontrole toe te passen op Meraki-beheerde apparaten.

2. Geautomatiseerde synchronisatie van apparaten: De Meraki Sync-service synchroniseert automatisch het ISE-beleid met Meraki-netwerkapparaten. Dit betekent dat alle wijzigingen in het beleid voor netwerktoegangscontrole in ISE automatisch worden weergegeven in Meraki-apparaten, zonder dat handmatige tussenkomst vereist is. Dit maakt het voor beheerders gemakkelijker om netwerktoegang op zowel Meraki als ISE-platforms te beheren.

3. Beleidshandhaving voor Meraki-beheerde apparaten: Met McTrust kan ISE beleid voor netwerktoegang afdwingen op Meraki-apparaten op basis van authenticatie en apparaathouding. Het kan dynamisch beleid toewijzen aan Meraki-netwerkelementen, zoals het aanpassen van VLAN-toewijzingen, het toepassen van toegangscontrolelijsten (ACL’s) of het beperken van toegang tot bepaalde netwerkbronnen, afhankelijk van de veiligheidshouding van het apparaat of de gebruiker die toegang vraagt.

4. Integratie van Meraki Dashboard: McTrust integreert ISE direct met het Meraki Dashboard en biedt een uniforme managementinterface. Dankzij deze integratie kunnen beheerders netwerkbeleid en toegangscontroleregels bekijken en beheren voor zowel Meraki-apparaten als ISE-beheerde resources, allemaal vanuit de Meraki cloudbeheerde interface.

Controleer en los McTrust (Meraki Sync Service) op

1. Log in op ISE GUI -> Werkcentra -> TrustSec -> Integraties -> Sync status. Controleer alle geconstateerde problemen/fouten. 

2. Zorg ervoor dat alle admin-certificaten van ISE-knooppunten actief en geldig zijn.

Handige debug voor probleemoplossing Meraki Sync Service is meraki-connector.log.

ISE-knoopexporteur

De ISE Node Exporter-service is een component die wordt gebruikt voor het bewaken en verzamelen van prestatiegegevens van het ISE-systeem, met name van de ISE-knooppunten (of het nu administratieknooppunten, monitoringknooppunten of beleidsserviceknooppunten zijn).  

Belangrijkste kenmerken en functies van ISE-knoopexporteur

1.Metriek exporteren: De ISE Node Exporter biedt een verscheidenheid aan prestatiegerelateerde parameters, zoals CPU-gebruik, geheugengebruik, schijfgebruik, netwerkstatistieken, systeembelasting en andere metriek op besturingssysteemniveau. Deze metingen worden dan gebruikt voor het monitoren van de gezondheid en prestaties van de ISE-knooppunt en kunnen worden gevisualiseerd in een monitoring-dashboard zoals Grafana.

2. Systeemgezondheidsbewaking: Door de prestatiegegevens naar Prometheus te exporteren, maakt de ISE Node Exporter continue monitoring van de gezondheid en de operationele status van het ISE-knooppunt mogelijk. Beheerders kunnen waarschuwingen op basis van vooraf gedefinieerde drempels aanmaken om hen te informeren over prestatievermindering of systeemproblemen.

3. Integratie van Prometheus: De ISE Node Exporter wordt meestal gebruikt in combinatie met Prometheus, een opensource monitoring- en waarschuwingstoolkit die is ontworpen voor betrouwbaarheid en schaalbaarheid. De Node Exporter onthult metriek op systeemniveau die door Prometheus kan worden geschraapt om tijdreeksgegevens te verzamelen en op te slaan.

ISE-promethusservice

De ISE Prometheus Service is een service die Prometheus met ISE integreert om de monitoring en verzameling van prestatiegegevens van het ISE-systeem mogelijk te maken. Prometheus is een opensource monitoring- en waarschuwingstoolkit die wordt gebruikt om tijdreeksgegevens te verzamelen, op te slaan en te analyseren, en de ISE Prometheus-dienst stelt ISE in staat om haar interne parameters aan Prometheus bloot te stellen voor monitoringdoeleinden.

Belangrijkste kenmerken en functies van ISE Prometheus Service

1. Verzameling van gegevens voor bewaking: De ISE Prometheus Service is ontworpen om verschillende operationele en prestatieparameters met betrekking tot het ISE-systeem te exporteren. Deze parameters omvatten, maar zijn niet beperkt tot CPU-gebruik en systeembelasting, geheugengebruik, schijfgebruik en I/O-prestaties, netwerkstatistieken, statistieken over verificatieaanvragen, statistieken over beleidshandhaving, systeemstatus en uptime-gegevens

2. Integratie van Prometheus: De Prometheus Service staat ISE toe om gegevens te presenteren in een formaat dat compatibel is met Prometheus, dat deze gegevens regelmatig schraapt. Prometheus slaat de gegevens vervolgens op in een tijdreeksdatabase, waardoor het mogelijk is om trends en historische prestaties van het ISE-systeem te volgen.

3. Visualisatie en rapportage met Grafana: De Prometheus Service in ISE integreert naadloos met Grafana, een populaire open-source visualisatie tool. Na het exporteren van de metriek naar Prometheus, kunnen beheerders Grafana dashboards gebruiken om de gegevens in real-time te visualiseren. Hierdoor kunnen knelpunten in de prestaties, systeemtrends en mogelijke problemen bij de ISE-implementatie eenvoudig worden geïdentificeerd.

ISE Grafana Service

De ISE Grafana Service is een service die visualisatie van systeemprestatiegegevens biedt met behulp van Grafana, een open-sourceplatform voor monitoring en datavisualisatie. Het integreert met Prometheus om real-time en historische gegevens te tonen die van ISE zijn verzameld, waardoor beheerders interactieve dashboards kunnen maken die inzicht geven in de gezondheid, de prestaties en het gebruik van het ISE-systeem.

Belangrijkste kenmerken en functies van ISE Grafana Service

1. Aanpasbare dashboards: Grafana is zeer aanpasbaar, waardoor beheerders dashboards kunnen maken en wijzigen op basis van hun specifieke monitoringbehoeften. Aangepaste query's kunnen worden aangemaakt om specifieke datapunten uit Prometheus te halen, en die zoekopdrachten kunnen worden gevisualiseerd in verschillende formaten zoals grafieken, tabellen, heatmaps, en meer.

2. Gecentraliseerde bewaking voor gedistribueerde ISE-implementaties: Voor gedistribueerde ISE-implementaties, waarbij meerdere ISE-knooppunten op verschillende locaties worden ingezet, biedt Grafana een gecentraliseerde weergave van alle systeemparameters die bij elke knooppunt zijn verzameld. Hiermee kunnen beheerders de prestaties van de volledige ISE-implementatie vanaf één locatie bewaken.

3. Historische gegevens en trendanalyse: Met de gegevens die in Prometheus zijn opgeslagen, maakt Grafana een historische analyse van systeemparameters mogelijk, zodat beheerders trends in de loop der tijd kunnen volgen. Ze kunnen bijvoorbeeld controleren hoe het CPU-gebruik de afgelopen maand is veranderd of hoe de succespercentages van de verificatie zijn veranderd. Deze historische gegevens zijn waardevol voor capaciteitsplanning, trendanalyse en het identificeren van langetermijnkwesties.

Controleer en los de ISE-grafanservice, ISE-prometheus-service, ISE-knooppunt exporteur op

1. ISE Grafana Service, ISE Prometheus Service en ISE Node Exporter Service werken samen en worden aangeduid als Grafana Stack Services. Er zijn geen specifieke debugs om deze services in te schakelen voor probleemoplossing. Deze opdrachten helpen echter bij het oplossen van problemen.

logboektoepassing tonen ise-prometheus/prometheus.log

logboektoepassing tonen ise-node-exporter/node-exporter.log

logboektoepassing tonen ise-grafana/grafana.log

Opmerking: Als de bewaking is ingeschakeld, moeten de ISE Node Exporter, ISE Prometheus Service en ISE Grafana Service worden uitgevoerd en moet de verstoring van een van deze services problemen veroorzaken bij het verzamelen van gegevens.

ISE MNT LogAnalytics Elasticsearch

De ISE MNT LogAnalytics Elasticsearch is een onderdeel dat Elasticsearch integreert met de mogelijkheden voor ISE-bewaking en probleemoplossing (MNT). Het wordt gebruikt voor logaggregatie, zoekfuncties en analyses met betrekking tot ISE-logboeken en -gebeurtenissen. Elasticsearch is een veelgebruikte, gedistribueerde zoek- en analytics engine, en wanneer geïntegreerd met ISE, verbetert het de mogelijkheid van het systeem om loggegevens op te slaan, te analyseren en te visualiseren die gegenereerd worden door ISE-componenten.

Belangrijkste kenmerken en functies van ISE MNT LogAnalytics Elasticsearch

1. Logopslag en indexering: De Elasticsearch-service in ISE is verantwoordelijk voor het opslaan en indexeren van de loggegevens die door ISE worden gegenereerd. Elasticsearch is een gedistribueerde zoek- en analytics-engine, en het maakt het mogelijk dat ISE-logbestanden worden opgeslagen op een manier die snel zoeken, opvragen en ophalen van specifieke gebeurtenissen, fouten of systeemactiviteiten mogelijk maakt.

2. Integratie met loganalyses: ISE MNT LogAnalytics Elasticsearch werkt samen met Log Analytics om een uitgebreide logboekoplossing te bieden. Het stelt ISE in staat om loggegevens te verzamelen met betrekking tot authenticatie, beleidshandhaving, systeemactiviteiten en andere activiteiten. Deze gegevens worden opgeslagen in Elasticsearch, waardoor het gemakkelijker is om gedetailleerde analyses uit te voeren en inzichten te krijgen in het gedrag van ISE.

3. Gecentraliseerde vastlegging: Door te integreren met Elasticsearch biedt ISE een gecentraliseerde logboekoplossing, die cruciaal is voor omgevingen die gedistribueerde logbestanden moeten verzamelen. Hiermee kunnen beheerders logbestanden van meerdere ISE-knooppunten bekijken en analyseren in één enkele, uniforme interface, waardoor het eenvoudiger is om problemen op te lossen en de prestaties van ISE te bewaken.

4. Loganalyse en probleemoplossing: De ISE MNT LogAnalytics Elasticsearch-service helpt beheerders systeemgedrag te analyseren en problemen op te lossen door loggegevens gemakkelijk toegankelijk te maken. Bijvoorbeeld, als er een plotselinge piek in authentificatiefouten of een onverwachte systeemstroomonderbreking is, staat Elasticsearch voor snel het vragen van loggegevens toe om de worteloorzaak te identificeren.

Verifiëren en probleemoplossing voor ISE M&T LogAnalytics Elasticsearch

1. De Log analytics service in ISE wordt uitgeschakeld en opnieuw ingeschakeld. Navigeer naar Operations > System 360 > Instellingen > Log analytics (schakel optie uit en schakel in). 

2. Het herstarten van de M&T LogAnalytics van ISE Root lost het probleem op. Neem contact op met Cisco TAC voor het uitvoeren van deze actie. 

Bekende gebreken

Cisco bug-id ·66198

ISE-logistieke service

ISE Logstash Service is een component die Logstash, een open-source dataverwerkingspipeline, integreert met ISE voor het verzamelen, omzetten en doorsturen van logbestanden. Logstash fungeert als een log collector en log forward, waardoor ISE-logs kunnen worden verwerkt en naar andere systemen kunnen worden verzonden voor analyse, opslag en monitoring.  Logstash is een krachtige, opensource-tool die logbestanden of andere gegevens verzamelt, parseert en doorstuurt van verschillende bronnen naar een centrale locatie voor opslag, analyse en visualisatie. In de context van ISE wordt de ISE Logstash Service gebruikt om logbestanden in een gestructureerd formaat te verwerken en door te sturen naar een gecentraliseerd logboeksysteem, waar ze verder kunnen worden geanalyseerd, bewaakt en gevisualiseerd.

Belangrijkste kenmerken en functies van de ISE Logstash Service

1. Logboekverzameling en -doorsturen: De belangrijkste functie van de ISE Logstash Service is om loggegevens te verzamelen van verschillende ISE-componenten (zoals authenticatielogboeken, systeemlogboeken, beleidsafdwingingslogboeken enzovoort.) en deze door te sturen naar een centrale locatie (meestal Elasticsearch of een ander logbeheersysteem) voor opslag en analyse.

2. Log parseren: Logstash kan de verzamelde logbestanden in gestructureerde formaten parseren. Het verwerkt ruwe loggegevens en extraheert zinvolle informatie hieruit, en transformeert de logbestanden tot een formaat dat gemakkelijker te bevragen en analyseren is. Dit kan filtering, het ontleden, en het verrijken van de gegevens impliceren alvorens het aan Elasticsearch of andere systemen door te sturen.

Controleer en los problemen op met ISE-logstasservice

1. Geen specifieke debugs ingeschakeld. Toon echter logboektoepassing ise-logstash/logstash.log biedt inzichten over de status van de service. 

2. Het uitschakelen en opnieuw inschakelen van de Log analytics-service in ISE moet helpen. Navigeer naar Operations > System 360 > Instellingen > Loganalyse ( uitschakelen en inschakelen met behulp van schakeloptie). 

Bekende defects gerelateerd aan Logstash-service

Cisco bug-id ·74832

Cisco bug-id ·58596

ISE Kibana Service

ISE Kibana Service is een onderdeel dat Kibana, een opensource-datavisualisatietool, integreert met ISE-logboekregistratie- en monitoringinfrastructuur. Kibana werkt samen met Elasticsearch (die loggegevens opslaat en indexeert) om een krachtig platform te bieden voor het visualiseren, doorzoeken en analyseren van ISE-logbestanden en prestatiegegevens. 

Belangrijkste kenmerken en functies van de ISE Kibana Service

1. Gegevensvisualisatie: Met de ISE Kibana Service kunnen beheerders visuele representaties maken van de loggegevens die van ISE zijn verzameld. Dit kan zijn:

• Grafieken, grafieken en tabellen voor trends in authenticatie, beleidshandhaving, gebruikersactiviteit en systeemgezondheid.
• Tekengrafieken, lijngrafieken en bargrafieken om specifieke metriek bij te houden, zoals het aantal mislukte inloggen, sessieduur of fouten in de tijd.

De ISE Kibana-service controleren en problemen oplossen

1. Als de ISE-kibanadienst niet actief is, loganalyse in ISE uitschakelen en opnieuw inschakelen, navigeer dan naar Operations > System 360 > Settings, Log analytics ( uit- en inschakelen met behulp van wisseloptie).

2. In veel scenario's kan er een dubbele vermelding zijn in de map /etc/hosts die een probleem veroorzaakt. Neem contact op met TAC om de dubbele invoer te verwijderen. 

Bekende tekortkomingen in verband met de kwestie Kibana

Cisco bug-id ·78050

Cisco bug-id ·59848

Opmerking: Als Log Analytics is ingeschakeld, moet ISE MNT LogAnalytics Elasticsearch, ISE Logstash Service, ISE Kibana Service worden uitgevoerd en moet verstoring van een van deze services problemen veroorzaken tijdens het verzamelen van gegevens.

ISE-native IPSec-service

De ISE-native IPSec-service verwijst naar de ingebouwde ondersteuning voor IPSec (Internet Protocol Security), die beveiligde communicatie tussen ISE-knooppunten of tussen ISE en andere netwerkapparaten biedt. IPSec is een reeks protocollen die worden gebruikt om netwerkcommunicatie te beveiligen door elk IP-pakket in een communicatiesessie te verifiëren en te versleutelen.de native IPSec-service maakt deel uit van het bredere kader voor beveiliging en netwerktoegangsbeheer. Het biedt mogelijkheden om IPsec VPN-verbindingen te verwerken en te beheren, waardoor de gegevens die worden verzonden tussen het ISE-systeem en externe endpoints beveiligd zijn. Dit kan interacties met clientapparaten, netwerktoegangsapparaten (zoals routers of firewalls) of zelfs andere ISE-knooppunten inhouden, waar IPsec-encryptie en tunneling nodig zijn om gevoelige informatie te beveiligen.

Belangrijkste kenmerken en functies van de ISE-native IPSec-service

1. Beveiligde communicatie via IPsec: De primaire functie van de ISE-native IPSec-service is het opzetten en onderhouden van beveiligde communicatiekanalen met IPsec. Dit impliceert het gebruik van encryptie en authentificatiemechanismen om ervoor te zorgen dat de gegevens die tussen ISE en andere apparaten worden overgebracht tegen onderschepping, het knoeien, en onbevoegde toegang worden beschermd.

2. IPsec VPN-connectiviteit: De ISE-native IPSec-service helpt VPN-verbindingen te vergemakkelijken die het IPsec-protocol gebruiken om een beveiligde, versleutelde tunnel voor gegevensoverdracht te bieden. Dit is met name handig voor externe werknemers, vestigingen of andere locaties die via onbetrouwbare netwerken (zoals internet) veilig toegang moeten krijgen tot de ISE-omgeving.

3. Ondersteuning voor Remote Access VPN: De Native IPSec-service kan worden betrokken bij externe VPN-configuraties voor toegang, waar gebruikers of apparaten die zich elders bevinden (zoals externe werknemers of vestigingen), veilig verbinding maken met het ISE-systeem via IPsec-tunnels. Deze service zorgt ervoor dat al het externe toegangsverkeer wordt versleuteld en geverifieerd voordat u de ISE-omgeving bereikt.

4.IPsec VPN-clientcompatibiliteit: ISE-native IPSec-service garandeert compatibiliteit met IPsec VPN-clients. Het ondersteunt gemeenschappelijke clientconfiguraties, waardoor apparaten veilig verbinding kunnen maken met het netwerk zonder gevoelige gegevens bloot te stellen aan risico's.

Verifieer en los problemen op bij native IPSec-service

1. Er zijn geen specifieke debugs om in te schakelen voor Native IPSec-service. Controleer de logbestanden met de logboekapplicatie strongswan/charon.log staartcommand via ISE CLI.

2. Als er een probleem wordt geobserveerd voor de tunnel, controleert u de status van de tunnelinstelling via GUI > Beheer > Systeem > Instellingen > Protocollen > IPSec > Native IPSec.

MFC-profiler

MFC Profiler is een gespecialiseerde component die wordt gebruikt voor het profileren van netwerkapparaten en endpoints. Profiling is een belangrijk onderdeel van de toegangscontrole van het netwerk, aangezien het ISE in staat stelt om apparaten op het netwerk te identificeren, te classificeren en het juiste netwerkbeleid toe te passen op basis van het type apparaat en het gedrag.                       

Belangrijkste kenmerken en functies van de MFC Profiler Service in ISE

1. Traffic Profiling: De MFC Profiler-service in ISE is verantwoordelijk voor het verzamelen en profileren van de verkeersgegevens. Het controleert hoe endpoints zich op het netwerk gedragen, met inbegrip van de soorten toepassingen die, de betreden diensten, en de verkeerspatronen die door apparaten worden tentoongesteld. Deze gegevens helpen bij het maken van een profiel voor elk endpoint.

2. Endpoint-profilering: Met de MFC Profiler-service kan ISE endpoints identificeren en categoriseren op basis van hun gedrag. Bijvoorbeeld, het ontdekt als een eindpunt een printer, een computer, of een mobiel apparaat is dat op verkeerspatronen wordt gebaseerd. Dit kan helpen bij het afdwingen van meer specifiek beleid voor verschillende soorten apparaten, waardoor de veiligheid en operationele efficiëntie worden verbeterd.

Verifieer en los MFC-profilerservice op

1. Navigeer naar ISE GUI -> Beheer -> Profiling -> MFC-profilering en AI-regels, controleer of de service is ingeschakeld. 

2. Als de service is ingeschakeld maar wel als uitgeschakeld wordt weergegeven / niet wordt uitgevoerd via de opdracht Sise van de toepassingsstatus tonen in ISE CLI. Schakel de MFC-profielservice uit en weer in via Stap 1.

Handige debugs voor probleemoplossing : MFC-profilercomponent in debug. De logbestanden kunnen worden geverifieerd van ondersteuningsbundel of staart de logbestanden met behulp van show logging applicatie ise-pi-profiler.log staart commando via ISE CLI.

Bekend defect voor MFC profiler die niet lopen in plaats van gehandicapte staat tonen:

Cisco bug-id ·72853

Belangrijkste punten

1. Om de services te herstellen moet u de services opnieuw opstarten met behulp van Application Stop ISE- en Application Start ISE-opdrachten via ISE CLI.

2. Als er een probleem is, zorg er dan voor dat er een ondersteuningsbundel wordt opgenomen van de ISE GUI / ISE CLI voor verdere verificatie van het probleem. Referentielink voor het maken van ISE-ondersteuningsbundel via GUI en CLI: Verzamel ondersteuningsbundel op de Identity Services Engine

3. Indien de problemen verband houden met hulpbronnen, het gemiddelde van de belasting, schijfgebruik, enz., is het verplicht om draad dump en heap dump voor analyse te verzamelen. 

4. Voordat u het knooppunt opnieuw laadt, neemt u contact op met Cisco TAC en biedt u beveiligde logs voor verdere analyse. 

Standaard bezorging in ISE

Naast de problemen met ISE-services, zijn dit een aantal problemen die worden aangetroffen in ISE-knooppunten en de vereiste basisstappen voor probleemoplossing.

Verificatie voor gemiddelden bij hoge belasting, problemen met resourcegebruik ( CPU / GEHEUGEN / SCHIJF ), ontoereikende bronnen

1. Controleer dat de door Cisco aanbevolen resources worden toegewezen aan de knooppunt met de opdracht Show inventaris via ISE CLI.

2. Voer vanuit de CLI van ISE-knooppunt de opdracht tech top uit om het resourcegebruik van ISE te controleren.

3. Controleer het schijfgebruik met de opdracht disk tonen via ISE-CLI.

4. Zuiver de inactieve eindpunten, maak de lokale schijf van het knooppunt leeg en voer upgradeopschonen uit.

Als het probleem zich blijft voordoen, neemt u contact op met Cisco TAC en levert u het beveiligde ondersteuningsbundel, de Heap dump en de Thread dump van het knooppunt waar het probleem zich voordoet. 

Om de stapelgootsteen te beveiligen, login aan CLI van de knoop van ISE, stel de toepassing in werking vormen bevel ISE. Selecteer optie 22.

Om de thread dump te beveiligen, log in op de CLI van ISE-knooppunt, voer de applicatie configureer ISE-opdracht uit, selecteer optie 23. Thread dump is opgenomen in de ondersteuningsbundel of kan worden getaild via ISE CLI met behulp van show logging applicatie appserver/catalina.out commando.

Problemen met bewaking controleren en probleemoplossing oplossen

De functie Monitoring and Troubleshooting (MnT) van ISE is een van de belangrijkste blokken van de ISE-architectuur die bewakings-, rapportage- en waarschuwingsfuncties biedt.

ISE geeft op veel plaatsen monitoringinformatie weer, waaronder: 

• Cisco ISE-startpagina
• Context Zichtbare weergaven
• RADIUS-live logs en -sessies
• Wereldwijde zoekopdracht
• Bedreigingscentrisch NAC live logs
• Levende Logs TACACS

Algemene problemen waargenomen in de categorie bewaking en probleemoplossing:

1. Radius/ TACACS Live logs niet beschikbaar
2. Live sessies niet beschikbaar
3. Gezondheidsoverzicht niet beschikbaar
4. Prestatieproblemen (hoge CPU/geheugen) op de MnT-knooppunten

Debugs om op de MnT knooppunten worden toegelaten om de kwestie te versmallen:

1. Cisco-minuten
2. Verzamelaar
3. Cpm-min
4. runtime-vastlegging

Naast de vermelde componenten in debug, kan deze informatie helpen bij het oplossen van problemen:

1. Worden ook live sessies beïnvloed of alleen live logs?
2. Straal- of TACACS-logbestanden worden aangetast of beide?
3. Ziet u een hoog CPU-gebruik of een hoog ruilruimtegebruik op MnT-knooppunten?
4. Hoeveel bufferbestanden ziet u op de MnT knooppunten. Bufferbestanden kunnen worden gevonden onder: /opt/CSCOcpm/mnt/data/collector.
5. Is geheugen en CPU reserveringen ingeschakeld, zo niet, schakel het in.
6. Is MnT/configuratie/sessie DB in het recente verleden opnieuw uitgevoerd?
7. Ziet u syslogs die van PSN naar MnT knooppunten worden verzonden?

Als u Syslog-services gebruikt voor MnT, is deze informatie vereist voor het oplossen van problemen:

1. Gebruikt u veilig syslog doel, zo niet schakel het uit zoals het bekend is om te veroorzaken impasses in draden waardoor collector ophoudt te functioneren?
2. Gebruikt u een beveiligd syslog-doel? Zorg ervoor dat Cert mapping correct is ingesteld onder Administration->Logging->Remote logging Targets->Secure Syslog Collector 1 en 2
3. Controleer of de registratiecategorieën correct zijn (aanbevolen om ongebruikte/ongewenste registratiecategorieën te verwijderen - dit vermindert de belasting op MnT-knooppunten) en de registratiedoelen correct zijn ingesteld.
4. Controleer de awrrep*.html-bestanden uit de ondersteuningsbundel om te begrijpen en een hint te krijgen van welke component vaker syslogs verstuurt, bijvoorbeeld als TACACS-tabellen worden gezien met invoegvragen of updatevragen, kunnen we de collector-logbestanden controleren om te begrijpen welke syslogs vaker worden verstuurd

Als de kwestie met de prestaties op de MnT knoop verband houdt, hebben wij deze informatie nodig:

1. tech top uitvoer van de ISE CLI van de MnT knooppunt.

2. Als de CPU hoog is, ziet u dan ook veel geheugen of veel ruilruimte?

3. Support bundel met heap dump en draad dump beveiligd.

Referentie

• Beheerdershandleiding voor Cisco Identity Services Engine, release 3.3
• Troubleshooten en foutsporing inschakelen op ISE